Skip to main content

Clés API

À quoi servent les clés API ?

Les clés API permettent à des applications tierces d'accéder à l'API REST de Retorik Personality de façon programmatique, sans passer par l'authentification OIDC de l'interface web.

Elles sont destinées aux intégrations back-end : service applicatif qui interroge le modèle en production, scripts d'automatisation, etc.


Consulter les clés API

Les clés API sont accessibles depuis le menu de votre compte ou via la section dédiée de l'interface d'administration.

La liste affiche pour chaque clé :

ColonneDescription
Nom / IdentifiantLibellé de la clé
Date d'expirationDate limite de validité (vide = pas d'expiration)
ActionsRévoquer la clé

Créer une clé API

  1. Cliquer sur Ajouter une clé.
  2. Renseigner les informations :
ChampDescriptionObligatoire
NomLibellé descriptif (ex. "Service production", "Script batch")Oui
Date d'expirationDate limite de validité de la cléNon
  1. Valider.
  2. Copier immédiatement la clé affichée — elle ne sera plus affichée après fermeture de la fenêtre.

La valeur de la clé est affichée une seule fois à la création. Si vous la perdez, il faut en créer une nouvelle.


Utiliser une clé API

La clé API doit être transmise dans le header HTTP Authorization de chaque requête :

Authorization: Bearer <votre-clé-api>

Exemple avec curl :

curl -H "Authorization: Bearer <votre-clé-api>" \
-H "X-Tenant-ID: <votre-tenant>" \
https://api.retorik-personality.example.com/api/v1/model

Révoquer une clé API

  1. Dans la liste des clés, cliquer sur l'icône de suppression de la clé à révoquer.
  2. Confirmer la révocation.

La clé est immédiatement invalidée — toutes les requêtes l'utilisant retourneront une erreur d'authentification.


Bonnes pratiques de sécurité

  • Une clé par usage : créer une clé distincte par service ou application qui consomme l'API.
  • Date d'expiration : préférer des clés avec expiration pour les accès temporaires (intégrations ponctuelles, scripts de migration).
  • Rotation régulière : remplacer périodiquement les clés de longue durée.
  • Ne pas exposer les clés : ne jamais inclure une clé API dans du code source versionné (git). Utiliser des variables d'environnement ou un gestionnaire de secrets.
  • Révoquer sans tarder : si une clé est compromise ou n'est plus utilisée, la révoquer immédiatement.