Authentification
Méthodes d'authentification, en-têtes requis et clés API
Méthodes d'authentification
L'API supporte deux méthodes d'authentification pour accéder aux routes protégées. Chaque requête doit utiliser l'une des deux méthodes suivantes :
| Méthode | En-tête | Cas d'usage |
|---|---|---|
| Cookie de session | Cookie: arrhes_id_user_session=... | Utilisation via l'interface web |
| Clé API (Bearer) | Authorization: Bearer <clé> | Intégration programmatique |
Authentification par cookie de session
Lors de la connexion via l'interface web, un cookie arrhes_id_user_session (httpOnly) est automatiquement défini. Ce cookie identifie l'utilisateur pour toutes les requêtes suivantes.
Avec cette méthode, l'organisation cible doit être spécifiée séparément via l'en-tête X-Organization-Id ou le cookie arrhes_id_organization.
X-Organization-Id a la priorité sur le cookie, arrhes_id_organization.Authentification par clé API
Les clés API permettent un accès programmatique à l'API. Elles sont liées à une organisation spécifique et nécessitent un abonnement premium.
L'en-tête Authorization doit contenir le token au format Bearer :
| En-tête | Valeur |
|---|---|
| Authorization | Bearer <votre_clé_api> |
Avec une clé API, l'organisation est automatiquement déterminée par la clé elle-même. Il n'est pas nécessaire de fournir l'en-tête X-Organization-Id.
rawKey) n'est retournée qu'au moment de la création via la route, POST /v1/organizations/:idOrganization/api-keys. Conservez-la précieusement, elle ne pourra pas être récupérée ultérieurement.En-têtes requis
Résumé des en-têtes nécessaires selon la méthode d'authentification :
| En-tête | Cookie de session | Clé API |
|---|---|---|
| Content-Type: application/json | Requis | Requis |
| X-Organization-Id | Requis * | Non nécessaire |
| Authorization: Bearer <clé> | Non utilisé | Requis |
* L'en-tête X-Organization-Id peut être remplacé par le cookie, arrhes_id_organization.
Permissions
Certaines routes nécessitent des permissions supplémentaires au-delà de l'authentification :
- ✓Administrateur : les routes de gestion d'organisation (suppression, paiements, abonnement) nécessitent que l'utilisateur soit administrateur de l'organisation.
- ✓Plan avancé : les routes de gestion des clés API nécessitent un abonnement avancé actif sur l'organisation.