Passer au contenu principal

Documentation Index

Fetch the complete documentation index at: https://docs.oneclickdz.com/llms.txt

Use this file to discover all available pages before exploring further.

Authentification par clé API

L’API OneClickDz Flexy utilise l’authentification par clé API. Toutes les requêtes doivent inclure votre clé API dans l’en-tête de la requête.

Format de l’en-tête

X-Access-Token: YOUR_API_KEY
Le nom de l’en-tête est X-Access-Token (et non Authorization). Assurez-vous d’utiliser le bon nom d’en-tête.

Types de clés API

Vous avez accès à deux types de clés API :

Clé Sandbox

Objectif : Tests et développement - Aucune déduction de solde réel - Réponses simulées - Numéros de test spéciaux disponibles - Sûre pour le développement

Clé Production

Objectif : Transactions en direct - Déduction de solde réel - Intégration opérateur en direct - Prête pour la production - À utiliser avec précaution

Générer des clés API

1

Connexion au tableau de bord

Visitez enterprise.oneclickdz.com et connectez-vous à votre compte
2

Accéder aux paramètres

Allez dans Paramètres → Configuration API
3

Générer les clés

Cliquez sur « Générer une clé API » pour les environnements Sandbox et Production
4

Enregistrer de manière sécurisée

Copiez et stockez vos clés dans un endroit sécurisé. Vous ne pourrez plus les voir après.

Valider votre clé API

Testez votre clé API en utilisant l’endpoint de validation : 
curl --request GET \
  --url https://api.oneclickdz.com/v3/validate \
  --header 'X-Access-Token: YOUR_API_KEY'

Réponse en cas de succès

{
  "success": true,
  "data": {
    "username": "+213665983439",
    "apiKey": {
      "key": "ea27b376-9f5c-4b09-883f-1b96cd7b541c",
      "isEnabled": true,
      "type": "SANDBOX",
      "allowedips": [],
      "scope": "READ-WRITE"
    }
  }
}

Propriétés de la clé API

Votre clé API inclut les propriétés suivantes :
PropriétéDescription
keyVotre identifiant de clé API unique
isEnabledIndique si la clé est active
typeSANDBOX ou PRODUCTION
allowedipsListe blanche d’adresses IP
scopeREAD-WRITE ou READ-ONLY

Liste blanche d’adresses IP

Pour une sécurité renforcée, vous pouvez restreindre vos clés API à des adresses IP spécifiques. Chaque environnement (Production et Sandbox) possède sa propre liste blanche IP indépendante.
1

Accéder aux paramètres API

Accédez à Paramètres → Configuration API dans votre tableau de bord
2

Ajouter des adresses IP

Saisissez les adresses IP spécifiques pour chaque environnement : - Liste blanche IP Production : contrôle l’accès pour votre clé API de production - Liste blanche IP Sandbox : contrôle l’accès pour votre clé API sandbox - Laissez vide pour autoriser toutes les adresses IP
3

Enregistrer les modifications

Cliquez sur « Mettre à jour la liste blanche IP » pour appliquer les changements
Lorsque la liste blanche IP contient des adresses, seules ces IP spécifiques seront autorisées. Les requêtes provenant d’autres IP seront rejetées avec une erreur 403.

Format de la liste blanche IP

Ajoutez des adresses IP spécifiques à la liste blanche, une par ligne :
  • 203.0.113.45 - Autorise uniquement cette adresse IP
  • 198.51.100.23 - Une autre adresse IP spécifique
Laissez la liste blanche vide pour autoriser toutes les adresses IP (comportement par défaut). Ajoutez des IP pour activer les restrictions.

Portées des clés

Les clés API peuvent avoir différents niveaux d’accès :

READ-WRITE (par défaut)

Accès complet à toutes les opérations :
  • Consulter le solde et les transactions
  • Envoyer des recharges
  • Passer des commandes
  • Vérifier les statuts

READ-ONLY

Limité aux opérations de lecture :
  • Consulter le solde et les transactions
  • Vérifier le statut des recharges
  • Lister les commandes
  • Impossible de créer de nouvelles transactions
Utilisez les clés READ-ONLY pour les tableaux de bord de reporting ou les outils d’analyse qui ne doivent pas modifier les données.

Réponses d’erreur

400 - Clé API manquante

{
  "success": false,
  "error": {
    "code": "MISSING_ACCESS_TOKEN",
    "message": "Access token is required"
  },
  "requestId": "req_abc123"
}

401 - Clé API invalide

{
  "success": false,
  "error": {
    "code": "INVALID_ACCESS_TOKEN",
    "message": "The provided access token is invalid",
    "details": {
      "attemptsLeft": 3
    }
  },
  "requestId": "req_abc123"
}
Après 5 tentatives d’authentification échouées, votre IP sera temporairement bloquée pendant 15 minutes.

403 - IP non autorisée

{
  "success": false,
  "error": {
    "code": "IP_NOT_ALLOWED",
    "message": "Your IP address 203.0.113.45 is not whitelisted for this PRODUCTION API key. Add your IP to the whitelist at  https://app.oneclickdz.com/#/settings"
  },
  "requestId": "req_abc123"
}
La réponse d’erreur inclut votre adresse IP actuelle et l’environnement (SANDBOX ou PRODUCTION) pour vous aider à identifier rapidement quelle liste blanche doit être mise à jour.

403 - IP Bloquée

{
  "success": false,
  "error": {
    "code": "IP_BLOCKED",
    "message": "Your IP has been temporarily blocked due to too many invalid attempts"
  },
  "requestId": "req_abc123"
}

Bonnes pratiques de sécurité

  • Ne jamais committer les clés API dans le contrôle de version
  • Utiliser des variables d’environnement ou des systèmes de gestion des secrets
  • Renouveler les clés périodiquement
  • Utiliser des clés différentes pour différents environnements
  • Toujours utiliser les endpoints HTTPS
  • Ne jamais envoyer les clés API via HTTP
  • Vérifier les certificats SSL
  • N’autoriser que les adresses IP nécessaires
  • Utiliser des IP spécifiques plutôt que des plages larges
  • Mettre à jour la liste blanche lors des changements d’infrastructure
  • Suivre régulièrement l’utilisation des clés API
  • Configurer des alertes pour les activités inhabituelles
  • Consulter les journaux d’accès
  • Révoquer immédiatement les clés compromises
  • Utiliser des clés READ-ONLY lorsque possible
  • Créer des clés séparées pour différents services
  • Appliquer le principe du moindre privilège

Rotation des clés

Il est recommandé de renouveler vos clés API périodiquement :
1

Générer une nouvelle clé

Créez une nouvelle clé API depuis votre tableau de bord
2

Mettre à jour l'application

Déployez votre application avec la nouvelle clé
3

Vérifier

Testez que la nouvelle clé fonctionne correctement
4

Révoquer l'ancienne clé

Une fois vérifiée, révoquez l’ancienne clé depuis votre tableau de bord
Renouvelez les clés au moins tous les 90 jours pour une sécurité renforcée.

Besoin d’aide ?

Si vous rencontrez des problèmes d’authentification :
  1. Vérifiez que votre clé API est correcte
  2. Vérifiez que vous utilisez le bon nom d’en-tête (X-Access-Token)
  3. Assurez-vous que votre IP est dans la liste blanche (si activée)
  4. Vérifiez l’état de l’API sur status.oneclickdz.com
  5. Contactez le support à [email protected]