Authentification
Utiliser les cles API et les scopes de l'API publique.
Authentification
Chaque appel a l'API publique doit contenir une cle API dans l'en-tete
Authorization.
Authorization: Bearer ccpk_xxxLa cle API est rattachee a une seule organisation. CycleCore utilise cette information pour isoler automatiquement les donnees retournees par l'API.
Format des requetes
GET /public/v1/products HTTP/1.1
Host: api.cyclecoreapp.com
Authorization: Bearer ccpk_xxx
Accept: application/jsonPour les requetes avec un corps JSON, ajoutez aussi:
Content-Type: application/jsonScopes
Les scopes limitent les actions possibles pour une cle. Une cle peut porter un ou plusieurs scopes.
| Scope | Description |
|---|---|
products:read | Lire le catalogue produit |
families:read | Lire les familles produit |
attributes:read | Lire les attributs configurables |
categories:read | Lire la classification catalogue |
media:read | Lire les medias du DAM exposes publiquement |
Lors de la creation d'une cle depuis CycleCore, tous les scopes disponibles sont selectionnes par defaut. Vous pouvez les deselectionner pour appliquer le principe du moindre privilege.
Rotation et revocation
Une cle compromise doit etre revoquee depuis les reglages de l'organisation.
Les appels utilisant une cle revoquee retournent 401.
Bonnes pratiques:
- Utiliser une cle differente par integration.
- Donner un nom explicite a chaque cle:
shopify-production,agence-seo,export-bi. - Revoquer les cles inutilisees.
- Renouveler les cles lors d'un changement de prestataire ou de secret expose.
Ce que la cle ne donne pas
Une cle API publique ne donne pas acces:
- A l'interface CycleCore.
- Aux permissions internes des utilisateurs.
- Aux routes d'administration ou de facturation.
- Aux schemas Prisma ou a la base de donnees.