Authentification

Toutes les routes de l’API REST server-to-server s’authentifient avec une clé API via le header X-API-Key.

Le header

X-API-Key: sk_live_agent_xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Deux clés, deux usages

Clé	Usage	Exposable ?
sk_live_agent_…	API REST serveur (cette doc)	Non — backend uniquement
pk_live_…	Widget navigateur (embed client)	Oui — frontend

La clé publique (pk_live_) est refusée sur les routes de l’API REST server-to-server. Vous obtiendriez une réponse 403 AUTH_API_KEY_FORBIDDEN.

Obtenir une clé API

Les clés API se créent depuis Paramètres → Clés API dans le dashboard admin. Vous pouvez en créer plusieurs (une par environnement, par intégration, etc.) et les révoquer individuellement.

La clé complète est affichée une seule fois à la création — copiez-la immédiatement.

Sécurité

• Ne committez jamais votre clé dans un dépôt Git
• Ne l’exposez jamais côté client (JS navigateur, app mobile)
• Stockez-la dans une variable d’environnement côté serveur (SUPPORTDESK_API_KEY)
• Révoquez au moindre doute de fuite et créez-en une nouvelle

Tester votre clé

Un appel read-only, sans effet de bord, qui renvoie l’app associée à votre clé :

curl

curl https://supportdesk.innovartx.com/api/v1/auth/whoami \
  -H "X-API-Key: $SUPPORTDESK_API_KEY"

Si tout est OK, vous recevez un 200 OK avec :

{
  "success": true,
  "data": {
    "appId": "cl…",
    "slug": "votre-app",
    "name": "Votre App",
    "keyType": "agent"
  }
}

Erreurs possibles

Code HTTP	Code métier	Cause
401	AUTH_API_KEY_MISSING	Le header X-API-Key est absent
401	AUTH_API_KEY_INVALID	La clé est mal formatée ou introuvable
401	AUTH_API_KEY_EXPIRED	La clé a dépassé sa date d’expiration
403	AUTH_API_KEY_FORBIDDEN	Vous avez utilisé une pk_live_ au lieu d’une sk_live_agent_

Voir Erreurs pour le format complet des réponses d’erreur.