client-idclient-secret
N’exposez jamais
client-secret dans des applications frontend, mobiles, dans le stockage navigateur ou dans des dépôts publics.Modèle d’authentification
client-id
Identifiant public de votre compte et de votre environnement.
client-secret
Clé secrète utilisée pour autoriser les requêtes. Stockez-la uniquement sur des systèmes backend de confiance.
Auth basée sur les en-têtes
Envoyez les deux identifiants dans les en-têtes de chaque appel API.
Clés propres à l'environnement
Sandbox et production utilisent des identifiants différents. Ne les mélangez pas.
Où récupérer vos clés
Se connecter au dashboard
Utilisez sandbox-app.payfonte.com pour les tests ou app.payfonte.com pour les opérations live.
Exemple de requête
Erreurs fréquentes
Utiliser des clés production en sandbox
Utiliser des clés production en sandbox
Sandbox et production sont deux environnements distincts. Utilisez toujours l’URL de base et les identifiants correspondants ensemble.
Placer client-secret dans du code frontend
Placer client-secret dans du code frontend
Le code frontend est visible par l’utilisateur final. Gardez tous les appels API Payfonte authentifiés sur votre backend.
Oublier un en-tête requis
Oublier un en-tête requis
Les requêtes sans
client-id ou client-secret échouent à l’authentification.Coder en dur des secrets dans le dépôt
Coder en dur des secrets dans le dépôt
Chargez toujours les identifiants depuis des variables d’environnement ou un gestionnaire de secrets sécurisé.
Checklist de sécurité
- Conservez
client-secretuniquement côté backend. - Utilisez HTTPS pour l’API et les endpoints webhook.
- Faites tourner les identifiants si vous suspectez une fuite.
- Restreignez l’accès interne aux secrets de production.
Documentation associée
Environnements
Configuration des URL et clés sandbox et production.
Premiers pas
Réussir votre premier appel API.
Référence API
Détails complets des endpoints et schémas.