Authentification

L'API DocFlow utilise des clés API pour authentifier les requêtes. Ce guide explique comment créer et utiliser vos clés API en toute sécurité.

Créer une clé API

1. Connectez-vous à votre tableau de bord
2. Naviguez vers API Keys
3. Cliquez sur Créer une clé
4. Donnez un nom descriptif à votre clé (ex: "Production", "Staging")
5. Optionnellement, définissez une date d'expiration
6. Copiez la clé générée immédiatement

Utiliser une clé API

Incluez votre clé API dans le header Authorization de chaque requête :

Authorization: Bearer df_votre_cle_api

Exemple avec curl

curl https://api.docflow.io/v1/templates \
  -H "Authorization: Bearer df_abc123xyz789..."

Exemple avec JavaScript

const response = await fetch('https://api.docflow.io/v1/templates', {
  headers: {
    'Authorization': 'Bearer df_abc123xyz789...'
  }
});

Structure des clés

Les clés API DocFlow suivent ce format :

• Préfixe : df_ - identifie les clés DocFlow
• Identifiant : 8 caractères alphanumériques
• Secret : chaîne aléatoire sécurisée

Exemple : df_abc12345_xxxxxxxxxxxxxxxxxxxxxxxx

Bonnes pratiques de sécurité

Ne jamais exposer vos clés

• Ne commitez jamais de clés API dans votre code source
• Utilisez des variables d'environnement
• N'incluez pas de clés dans le code côté client (navigateur)

# .env (ne pas commiter ce fichier)
DOCFLOW_API_KEY=df_abc123xyz789...

# Dans votre code
const apiKey = process.env.DOCFLOW_API_KEY;

Utiliser des clés différentes par environnement

Créez des clés séparées pour le développement, le staging et la production. Cela permet de :

• Révoquer une clé sans impacter les autres environnements
• Identifier facilement l'origine des requêtes
• Limiter l'impact en cas de fuite

Définir une date d'expiration

Pour les clés temporaires ou les intégrations tierces, définissez une date d'expiration.

Rotation régulière des clés

Renouvelez périodiquement vos clés API pour limiter les risques :

1. Créez une nouvelle clé
2. Mettez à jour votre application avec la nouvelle clé
3. Vérifiez que tout fonctionne
4. Révoquez l'ancienne clé

Révoquer une clé

Si une clé est compromise ou n'est plus nécessaire :

1. Allez dans API Keys
2. Cliquez sur le bouton de suppression de la clé concernée
3. Confirmez la révocation

La clé sera immédiatement invalide et toutes les requêtes l'utilisant retourneront une erreur 401 Unauthorized.

Erreurs d'authentification

401 Unauthorized

Causes possibles :

• Clé API manquante
• Clé API invalide ou révoquée
• Clé API expirée
• Format de header incorrect

{
  "error": {
    "code": "UNAUTHORIZED",
    "message": "Invalid or missing API key"
  }
}

403 Forbidden

Causes possibles :

• Accès à une ressource d'un autre workspace
• Fonctionnalité non disponible dans votre plan

{
  "error": {
    "code": "FORBIDDEN",
    "message": "Access denied to this resource"
  }
}

Limites par plan