Clé API & authentification
Le serveur MCP PetitPanda (https://mcp.petitpanda.io/mcp) authentifie chaque appel avec une clé API que tu génères depuis Réglages > API .
Générer une clé
Va dans Réglages > API et clique sur Créer une clé. Donne-lui un nom qui décrit son usage (claude-perso, n8n-prod, agent-veille), ça t’aidera à savoir laquelle révoquer si besoin.
La page affiche directement la commande claude mcp add prête à copier-coller avec ta clé insérée.
Format de la clé
Les clés PetitPanda ont le préfixe suivant :
pp_live_...Le préfixe pp_live_ permet de repérer facilement une clé PetitPanda dans tes logs ou un scanner de secrets. C’est le seul format valide : toute clé qui ne commence pas par pp_ est rejetée.
Headers acceptés
Le serveur accepte trois façons de passer la clé, dans cet ordre de priorité :
| Header | Exemple |
|---|---|
petitpanda-api-key (recommandé) | petitpanda-api-key: pp_live_xxx |
x-api-key | x-api-key: pp_live_xxx |
Authorization: Bearer | Authorization: Bearer pp_live_xxx |
Utilise petitpanda-api-key par défaut : c’est celui que la commande claude mcp add de l’UI utilise.
initialize du protocole MCP (la poignée de main initiale) ne nécessite aucune authentification. Seuls tools/list et tools/call exigent une clé valide.Scopes
Chaque clé porte un ou plusieurs scopes :
| Scope | Ce qu’il autorise |
|---|---|
reels:generate | Réservé à un usage futur, pas encore consommé par les outils actuels |
drafts:write | Utiliser petitpanda_create_upload_url (upload de médias) |
schedules:write | Utiliser petitpanda_create_post (publication ou programmation), petitpanda_update_schedule (modifier une programmation) et petitpanda_delete_schedule (annuler une programmation) |
Les outils qui ne demandent aucun scope (petitpanda_get_user, petitpanda_list_accounts, petitpanda_next_free_slot, petitpanda_list_schedules, petitpanda_get_post) fonctionnent avec n’importe quelle clé valide, quels que soient ses scopes.
Révoquer une clé
Dans Réglages > API, repère la clé concernée et clique sur Révoquer. La révocation est immédiate : tout appel ultérieur avec cette clé échoue.
Bonnes pratiques sécurité
- Jamais en clair dans du code versionné. Passe par une variable d’environnement (
PETITPANDA_API_KEY). - Jamais commit dans un repo. Ajoute
.envà ton.gitignore. - Une clé par usage. Une pour ton agent Claude perso, une pour ton workflow n8n prod, une pour un script de test. En cas de fuite, tu révoques la bonne sans tout casser.
- Rotation régulière si plusieurs personnes ou outils partagent l’accès.
Et après ?
- Connecte ton premier client : Connecter le MCP
- Explore les outils disponibles : Les 9 outils
- Comprends les erreurs possibles : Limites & erreurs