Authentification

L'API Collect FluxxPay s'authentifie par clé API marchand. Chaque requête doit inclure cette clé.

Référence complète : API Collect.


Obtenir votre clé API

  1. Connectez-vous au dashboard marchand FluxxPay.
  2. Paramètres → Clés API.
  3. Générez une clé (Test ou Production).
  4. Copiez-la et stockez-la de façon sécurisée (variable d'environnement).

En-têtes de requête

Deux formes équivalentes pour la clé :

  • Name
    Authorization (recommandé)
    Description
    Authorization: Bearer <votre_clé_api>
  • Name
    X-API-Key
    Description
    X-API-Key: <votre_clé_api>
  • Name
    Content-Type
    Description

    Content-Type: application/json sur les requêtes avec corps.

  • Name
    Idempotency-Key
    Description

    Obligatoire sur POST /collect/payments (fenêtre 24 h).

Exemple

curl -X GET 'https://api.fluxxpay.me/api/v1/collect/payments/operators/' \
  -H 'Authorization: Bearer <votre_clé_api>' \
  -H 'Content-Type: application/json'

Environnements

  • Name
    Production
    Description

    https://api.fluxxpay.me : clé Production.

  • Name
    Test / local
    Description

    URL fournie par votre environnement (ex. http://localhost:8000) : clé Test.

L'environnement test / live est déterminé par la clé API elle-même, pas par un header client. Le format de la clé est le même ; seule l'URL de base change.


Scopes (clés API v2)

Sur les clés avec permissions explicites :

  • Name
    collect:read
    Description

    Lecture paiement, catalogue opérateurs (GET).

  • Name
    collect:write
    Description

    Création, confirmation OTP, annulation (POST).

  • Name
    collect:refund
    Description

    Remboursements (POST /refunds).

Liste permissions vide = accès complet. Sinon, un scope manquant renvoie 403 insufficient_scope.


Périmètre de la clé API

Avec une clé API marchand valide, vous pouvez notamment :

  • Name
    API Collect
    Description

    Catalogue opérateurs, création de paiement (direct ou hosted), confirmation OTP Coris, annulation, remboursement, consultation du statut.

  • Name
    Webhooks
    Description

    Configuration des notifications collect.payment.* depuis le dashboard.


Bonnes pratiques

  • Name
    Stockage
    Description

    Variables d'environnement ou coffre-fort (secrets manager), jamais dans le code versionné.

  • Name
    HTTPS
    Description

    Obligatoire en production pour les appels API et les webhooks.

  • Name
    Rotation
    Description

    Renouvelez les clés périodiquement et révoquez les anciennes.

  • Name
    Journaux
    Description

    Ne loguez jamais la clé API en clair.


Tester l'authentification

Test

GET
/api/v1/collect/payments/operators/
curl -X GET 'https://api.fluxxpay.me/api/v1/collect/payments/operators/' \
  -H 'Authorization: Bearer <votre_clé_api>'

Une réponse 200 confirme que la clé est valide.


Erreurs d'authentification

  • Name
    401 Non autorisé
    Description

    Clé absente, invalide ou expirée.

  • Name
    403 Interdit
    Description

    Compte ou clé sans accès marchand associé, ou scope insuffisant.

  • Name
    429 Trop de requêtes
    Description

    Limite de débit : réessayez avec backoff ; respectez Retry-After.


Voir aussi

Was this page helpful?