Authentification

Chaque requête API transmet un jeton dans l’en-tête :

Authorization: Bearer <token>

Il existe deux types d’accès :

Clé API hotdoc

Pour l’accès programmatique au traitement de documents. Format du jeton : hotdoc_<id>.<secret>. Créée dans le tableau de bord ; le jeton complet est affiché une seule fois, après quoi seule une version masquée est conservée (hotdoc_<id>). Une clé possède une expiration facultative (expiresAt ; sans elle, la clé n’expire jamais) et un horodatage de dernière utilisation (lastUsedAt) ; une clé peut être révoquée.

Jeton de session du tableau de bord (JWT)

Pour gérer votre compte, vos clés et votre facturation depuis le tableau de bord.

Les méthodes de traitement (/v1/jobs*) acceptent à la fois une clé API et un JWT. Toutes les méthodes de gestion (compte, clés, facturation) nécessitent un jeton de session du tableau de bord (JWT) — elles ne sont pas disponibles avec une clé API.

Endpoints de gestion des clés

MéthodeEndpointObjet
GET/v1/account/api-keyslister les clés (masquées)
POST/v1/account/api-keyscréer une clé ; le jeton complet est renvoyé une seule fois
DELETE/v1/account/api-keys/{id}révoquer une clé

Sécurité des clés

  • ne placez pas de clés dans du code côté client ni dans des dépôts publics ;
  • en cas de fuite d’une clé, révoquez-la immédiatement et créez-en une nouvelle ;
  • la révocation prend effet avec un délai pouvant atteindre 5 minutes (mise en cache côté serveur) ;
  • la clé du fournisseur de modèle (BYOK) est un secret distinct ; elle n’est jamais stockée en clair (uniquement chiffrée) et est supprimée en même temps que le job.