Skip to Content
🛠 APIAuthentification & clés API

Authentification & clés API

Toutes les requêtes vers l’API PetitPanda doivent être authentifiées avec une clé API passée dans le header Authorization. Tu gères tes clés depuis Réglages > API .

Générer une clé

Va dans Réglages > API

Ouvre app.petitpanda.io/settings/api  et clique sur Créer une clé.

Nomme la clé

Donne-lui un nom qui décrit son usage : n8n-prod, script-import-csv, make-staging. Ça t’aidera à savoir laquelle révoquer si besoin.

Sélectionne les scopes

Coche uniquement les scopes nécessaires (principe du moindre privilège). Voir le détail ci-dessous.

Copie la clé immédiatement

⚠️ La clé n’est affichée qu’une seule fois. Une fois la modale fermée, tu ne pourras plus la récupérer. Si tu la perds, révoque-la et crée-en une nouvelle.

Format de la clé

Les clés PetitPanda ont le format suivant :

ppk_xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Préfixe ppk_ suivi de 32 caractères alphanumériques. Le préfixe permet de détecter facilement une clé dans tes logs ou tes fichiers (utile pour le secret scanning sur GitHub).

Header d’authentification

Toutes les requêtes doivent inclure :

Authorization: Bearer ppk_xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Exemple complet :

curl https://app.petitpanda.io/api/schedules \
  -H "Authorization: Bearer $PETITPANDA_API_KEY"

Une requête sans header (ou avec une clé invalide / révoquée) retourne un 401 Unauthorized.

Scopes disponibles

Chaque clé porte un ou plusieurs scopes. Une requête vers un endpoint qui exige un scope absent retourne 403 Forbidden.

ScopeCe qu’il permet
reels:generateAppeler POST /generate-post, POST /remix et POST /images/generate (génération de contenu IA)
drafts:writeCréer, modifier et supprimer des drafts existants
schedules:writeCréer, lister, modifier et supprimer des programmations + slots récurrents

Tu peux combiner les trois sur une seule clé, ou créer des clés spécialisées (une pour la génération, une pour la programmation).

Révoquer une clé

Dans Réglages > API , repère la clé concernée et clique sur Révoquer. La révocation est immédiate : toute requête ultérieure avec cette clé retournera 401.

💡 Crée une clé par environnement (dev, staging, prod). Si ta clé dev fuit dans un repo, tu la révoques sans casser la production. Mauvaise pratique : une seule clé partagée partout.

Bonnes pratiques sécurité

  • Jamais en clair dans le code. Toujours via une variable d’environnement (PETITPANDA_API_KEY).
  • Jamais commit dans un repo. Ajoute .env à ton .gitignore et utilise un gestionnaire de secrets (1Password, Vercel env vars, GitHub Secrets).
  • Rotation régulière. Régénère tes clés tous les 3 à 6 mois, surtout si plusieurs personnes y ont accès.
  • Une clé par usage. Plus c’est granulaire, plus le rayon de blast en cas de fuite est petit.

Et après ?

Last updated on
Démarrage rapideGénérer un post