CycleCore Docs
API publique

Authentification

Utiliser les cles API et les scopes de l'API publique.

Authentification

Chaque appel a l'API publique doit contenir une cle API dans l'en-tete Authorization.

Authorization: Bearer ccpk_xxx

La cle API est rattachee a une seule organisation. CycleCore utilise cette information pour isoler automatiquement les donnees retournees par l'API.

Format des requetes

GET /public/v1/products HTTP/1.1
Host: api.cyclecoreapp.com
Authorization: Bearer ccpk_xxx
Accept: application/json

Pour les requetes avec un corps JSON, ajoutez aussi:

Content-Type: application/json

Scopes

Les scopes limitent les actions possibles pour une cle. Une cle peut porter un ou plusieurs scopes.

ScopeDescription
products:readLire le catalogue produit
families:readLire les familles produit
attributes:readLire les attributs configurables
categories:readLire la classification catalogue
media:readLire les medias du DAM exposes publiquement

Lors de la creation d'une cle depuis CycleCore, tous les scopes disponibles sont selectionnes par defaut. Vous pouvez les deselectionner pour appliquer le principe du moindre privilege.

Rotation et revocation

Une cle compromise doit etre revoquee depuis les reglages de l'organisation. Les appels utilisant une cle revoquee retournent 401.

Bonnes pratiques:

  • Utiliser une cle differente par integration.
  • Donner un nom explicite a chaque cle: shopify-production, agence-seo, export-bi.
  • Revoquer les cles inutilisees.
  • Renouveler les cles lors d'un changement de prestataire ou de secret expose.

Ce que la cle ne donne pas

Une cle API publique ne donne pas acces:

  • A l'interface CycleCore.
  • Aux permissions internes des utilisateurs.
  • Aux routes d'administration ou de facturation.
  • Aux schemas Prisma ou a la base de donnees.

On this page