Authentification
L'API Collect FluxxPay s'authentifie par clé API marchand. Chaque requête doit inclure cette clé.
Référence complète : API Collect.
Obtenir votre clé API
- Connectez-vous au dashboard marchand FluxxPay.
- Paramètres → Clés API.
- Générez une clé (Test ou Production).
- Copiez-la et stockez-la de façon sécurisée (variable d'environnement).
En cas de fuite suspectée, révoquez la clé et générez-en une nouvelle immédiatement.
En-têtes de requête
Deux formes équivalentes pour la clé :
- Name
Authorization (recommandé)- Description
- Authorization: Bearer <votre_clé_api>
- Name
X-API-Key- Description
- X-API-Key: <votre_clé_api>
- Name
Content-Type- Description
Content-Type: application/jsonsur les requêtes avec corps.
- Name
Idempotency-Key- Description
Obligatoire sur
POST /collect/payments(fenêtre 24 h).
Exemple
curl -X GET 'https://api.fluxxpay.me/api/v1/collect/payments/operators/' \
-H 'Authorization: Bearer <votre_clé_api>' \
-H 'Content-Type: application/json'
Environnements
- Name
Production- Description
https://api.fluxxpay.me: clé Production.
- Name
Test / local- Description
URL fournie par votre environnement (ex.
http://localhost:8000) : clé Test.
L'environnement test / live est déterminé par la clé API elle-même, pas par un header client. Le format de la clé est le même ; seule l'URL de base change.
Scopes (clés API v2)
Sur les clés avec permissions explicites :
- Name
collect:read- Description
Lecture paiement, catalogue opérateurs (
GET).
- Name
collect:write- Description
Création, confirmation OTP, annulation (
POST).
- Name
collect:refund- Description
Remboursements (
POST /refunds).
Liste permissions vide = accès complet. Sinon, un scope manquant renvoie 403 insufficient_scope.
Périmètre de la clé API
Avec une clé API marchand valide, vous pouvez notamment :
- Name
API Collect- Description
Catalogue opérateurs, création de paiement (direct ou hosted), confirmation OTP Coris, annulation, remboursement, consultation du statut.
- Name
Webhooks- Description
Configuration des notifications
collect.payment.*depuis le dashboard.
Bonnes pratiques
- Name
Stockage- Description
Variables d'environnement ou coffre-fort (secrets manager), jamais dans le code versionné.
- Name
HTTPS- Description
Obligatoire en production pour les appels API et les webhooks.
- Name
Rotation- Description
Renouvelez les clés périodiquement et révoquez les anciennes.
- Name
Journaux- Description
Ne loguez jamais la clé API en clair.
Tester l'authentification
Test
curl -X GET 'https://api.fluxxpay.me/api/v1/collect/payments/operators/' \
-H 'Authorization: Bearer <votre_clé_api>'
Une réponse 200 confirme que la clé est valide.
Erreurs d'authentification
- Name
401 Non autorisé- Description
Clé absente, invalide ou expirée.
- Name
403 Interdit- Description
Compte ou clé sans accès marchand associé, ou scope insuffisant.
- Name
429 Trop de requêtes- Description
Limite de débit : réessayez avec backoff ; respectez
Retry-After.