Authentification
Clés API
Mapalyze utilise des clés API à portée organisationnelle pour les intégrations serveur à serveur.
Formats de clé
mk_live_...: clé de production.mk_test_...: clé sandbox/test.
Votre gateway peut être configuré pour n'accepter que des environnements de clé spécifiques. Par exemple, la production peut être restreinte aux clés mk_live_ uniquement.
Qui peut gérer les clés API
| Rôle | Créer des clés read-only / read-write |
Créer des clés admin |
Rotation/Révocation des clés admin |
|---|---|---|---|
| owner | Oui | Oui | Oui |
| admin | Oui | Non | Non |
| member | Non | Non | Non |
Créer une clé API
- Ouvrez l'application Mapalyze : Settings > Integrations > API Keys
- Cliquez sur Create API Key
- Entrez un nom (par exemple :
Production backend) - Sélectionnez la portée : Read-Only, Read-Write ou Admin
- Choisissez l'environnement : Live ou Test
- Créez et copiez la clé complète immédiatement (affichée une seule fois)
Envoyer la clé
Utilisez X-API-Key à chaque requête :
curl -H "X-API-Key: mk_live_your_key_here" \
https://<project-ref>.supabase.co/functions/v1/api-gateway/v1/records
Vous pouvez également envoyer la clé comme token bearer :
curl -H "Authorization: Bearer mk_live_your_key_here" \
https://<project-ref>.supabase.co/functions/v1/api-gateway/v1/records
Portées
| Portée | Permissions |
|---|---|
| read-only | Endpoints de lecture (GET) incluant enregistrements, formulaires, projets, pièces jointes, exports, lectures OGC |
| read-write | Tout dans read-only, plus les écritures (POST, PUT, PATCH, DELETE) |
| admin | Tout dans read-write, plus les endpoints d'administration (webhooks, métriques API, alertes d'abus/cycle de vie) |
Les portées sont hiérarchiques : admin inclut read-write, et read-write inclut read-only.
Idempotence pour la sécurité des écritures
Pour les routes d'écriture utilisant POST/PUT, envoyez Idempotency-Key afin que les tentatives ne créent pas de doublons :
curl -X POST \
-H "X-API-Key: mk_live_..." \
-H "Idempotency-Key: create-record-20260220-001" \
-H "Content-Type: application/json" \
-d '{"form_id":"...","properties":{"name":"Test"}}' \
"https://<ref>.supabase.co/functions/v1/api-gateway/v1/records"
Voir les détails dans Créer, Modifier et Supprimer.
Bonnes pratiques de sécurité
- N'exposez jamais les clés API dans le code navigateur ou client mobile.
- Stockez les clés dans des variables d'environnement ou des gestionnaires de secrets.
- Utilisez la portée minimale requise.
- Faites tourner les clés régulièrement et révoquez celles inutilisées.
- Séparez les clés de production et de test.
- Ajoutez vos domaines backend aux origines autorisées si vous utilisez des intégrations basées sur navigateur.
Révoquer une clé
Depuis Settings > Integrations > API Keys, cliquez sur Revoke sur la clé cible. La révocation est immédiate et les requêtes suivantes retournent 401.
Besoin d'aide avec l'API ? Contactez notre équipe support.