Authentification API

Guide complet pour sécuriser vos requêtes API avec Scrypt. Découvrez comment obtenir et utiliser vos clés d'API.

Méthodes d'authentification

  • Bearer Token (recommandé)
  • API Key
  • OAuth 2.0 (pour les intégrations avancées)

Bearer Token

Utilisation

Ajoutez le header Authorization à chaque requête :

Authorization: Bearer votre-token-jwt

Exemple de requête avec curl :

curl -X POST https://api.scrypt.fr/v1/analyze \
  -H "Authorization: Bearer votre-token-jwt" \
  -H "Content-Type: application/json" \
  -d '{"url": "https://example.com"}'

Obtention du token

Pour obtenir un token JWT :

POST /auth/token

{
  "client_id": "votre-client-id",
  "client_secret": "votre-client-secret"
}

Le token est valide pendant 24 heures.

API Key

Utilisation

Deux méthodes pour utiliser votre clé API :

1. Via le header X-API-Key :

X-API-Key: votre-clé-api

2. Via le paramètre api_key :

GET /v1/analyze?api_key=votre-clé-api

Gestion des clés

Dans votre tableau de bord :

  1. Accédez à la section API
  2. Cliquez sur "Nouvelle clé API"
  3. Définissez les permissions
  4. Copiez la clé générée

Important : La clé ne sera affichée qu'une seule fois lors de sa création.

OAuth 2.0

Configuration

Étapes de configuration OAuth :

  1. Créez une application OAuth
  2. Configurez les URLs de redirection
  3. Obtenez vos identifiants client
  4. Implémentez le flux d'autorisation

Flux d'autorisation

Exemple de flux Authorization Code :

1. Redirection vers l'autorisation :
GET /oauth/authorize
  ?client_id=votre-client-id
  &redirect_uri=https://votre-app.com/callback
  &response_type=code
  &scope=read write

2. Échange du code :
POST /oauth/token
{
  "grant_type": "authorization_code",
  "code": "code-reçu",
  "client_id": "votre-client-id",
  "client_secret": "votre-client-secret",
  "redirect_uri": "https://votre-app.com/callback"
}

Sécurité

Bonnes pratiques

  • Utilisez HTTPS pour toutes les requêtes
  • Ne partagez jamais vos clés ou tokens
  • Stockez les secrets de manière sécurisée
  • Rotez régulièrement vos clés API
  • Limitez les permissions au minimum nécessaire

Ne stockez jamais vos clés API dans le code source ou les dépôts publics.