Clés API
À quoi servent les clés API ?
Les clés API permettent à des applications tierces d'accéder à l'API REST de Retorik Personality de façon programmatique, sans passer par l'authentification OIDC de l'interface web.
Elles sont destinées aux intégrations back-end : service applicatif qui interroge le modèle en production, scripts d'automatisation, etc.
Consulter les clés API
Les clés API sont accessibles depuis le menu de votre compte ou via la section dédiée de l'interface d'administration.
La liste affiche pour chaque clé :
| Colonne | Description |
|---|---|
| Nom / Identifiant | Libellé de la clé |
| Date d'expiration | Date limite de validité (vide = pas d'expiration) |
| Actions | Révoquer la clé |
Créer une clé API
- Cliquer sur Ajouter une clé.
- Renseigner les informations :
| Champ | Description | Obligatoire |
|---|---|---|
| Nom | Libellé descriptif (ex. "Service production", "Script batch") | Oui |
| Date d'expiration | Date limite de validité de la clé | Non |
- Valider.
- Copier immédiatement la clé affichée — elle ne sera plus affichée après fermeture de la fenêtre.
La valeur de la clé est affichée une seule fois à la création. Si vous la perdez, il faut en créer une nouvelle.
Utiliser une clé API
La clé API doit être transmise dans le header HTTP Authorization de chaque requête :
Authorization: Bearer <votre-clé-api>
Exemple avec curl :
curl -H "Authorization: Bearer <votre-clé-api>" \
-H "X-Tenant-ID: <votre-tenant>" \
https://api.retorik-personality.example.com/api/v1/model
Révoquer une clé API
- Dans la liste des clés, cliquer sur l'icône de suppression de la clé à révoquer.
- Confirmer la révocation.
La clé est immédiatement invalidée — toutes les requêtes l'utilisant retourneront une erreur d'authentification.
Bonnes pratiques de sécurité
- Une clé par usage : créer une clé distincte par service ou application qui consomme l'API.
- Date d'expiration : préférer des clés avec expiration pour les accès temporaires (intégrations ponctuelles, scripts de migration).
- Rotation régulière : remplacer périodiquement les clés de longue durée.
- Ne pas exposer les clés : ne jamais inclure une clé API dans du code source versionné (git). Utiliser des variables d'environnement ou un gestionnaire de secrets.
- Révoquer sans tarder : si une clé est compromise ou n'est plus utilisée, la révoquer immédiatement.