Skip to Content
🤖 API & MCPClé API & authentification

Clé API & authentification

Le serveur MCP PetitPanda (https://mcp.petitpanda.io/mcp) authentifie chaque appel avec une clé API que tu génères depuis Réglages > API .

Générer une clé

Va dans Réglages > API et clique sur Créer une clé. Donne-lui un nom qui décrit son usage (claude-perso, n8n-prod, agent-veille), ça t’aidera à savoir laquelle révoquer si besoin.

La clé en clair n’est affichée qu’une seule fois, à la création. Copie-la immédiatement : PetitPanda ne stocke qu’un hash SHA-256, impossible de la retrouver après coup. Si tu la perds, révoque-la et crée-en une nouvelle.

La page affiche directement la commande claude mcp add prête à copier-coller avec ta clé insérée.

Format de la clé

Les clés PetitPanda ont le préfixe suivant :

pp_live_...

Le préfixe pp_live_ permet de repérer facilement une clé PetitPanda dans tes logs ou un scanner de secrets. C’est le seul format valide : toute clé qui ne commence pas par pp_ est rejetée.

Headers acceptés

Le serveur accepte trois façons de passer la clé, dans cet ordre de priorité :

HeaderExemple
petitpanda-api-key (recommandé)petitpanda-api-key: pp_live_xxx
x-api-keyx-api-key: pp_live_xxx
Authorization: BearerAuthorization: Bearer pp_live_xxx

Utilise petitpanda-api-key par défaut : c’est celui que la commande claude mcp add de l’UI utilise.

L’appel initialize du protocole MCP (la poignée de main initiale) ne nécessite aucune authentification. Seuls tools/list et tools/call exigent une clé valide.

Scopes

Chaque clé porte un ou plusieurs scopes :

ScopeCe qu’il autorise
reels:generateRéservé à un usage futur, pas encore consommé par les outils actuels
drafts:writeUtiliser petitpanda_create_upload_url (upload de médias)
schedules:writeUtiliser petitpanda_create_post (publication ou programmation), petitpanda_update_schedule (modifier une programmation) et petitpanda_delete_schedule (annuler une programmation)
Si tu ne précises aucun scope à la création, ta clé reçoit tous les scopes par défaut. C’est volontaire : la plupart des usages (agent perso, automatisation n8n) ont besoin de tout. Si tu veux restreindre une clé, choisis les scopes manuellement à la création.

Les outils qui ne demandent aucun scope (petitpanda_get_user, petitpanda_list_accounts, petitpanda_next_free_slot, petitpanda_list_schedules, petitpanda_get_post) fonctionnent avec n’importe quelle clé valide, quels que soient ses scopes.

Révoquer une clé

Dans Réglages > API, repère la clé concernée et clique sur Révoquer. La révocation est immédiate : tout appel ultérieur avec cette clé échoue.

Bonnes pratiques sécurité

  • Jamais en clair dans du code versionné. Passe par une variable d’environnement (PETITPANDA_API_KEY).
  • Jamais commit dans un repo. Ajoute .env à ton .gitignore.
  • Une clé par usage. Une pour ton agent Claude perso, une pour ton workflow n8n prod, une pour un script de test. En cas de fuite, tu révoques la bonne sans tout casser.
  • Rotation régulière si plusieurs personnes ou outils partagent l’accès.

Et après ?

Last updated on