Cles API

Creation, gestion et revocation des cles API pour l'acces programmatique.

3 min de lecture

A quoi servent les cles API

Les cles API vous permettent d'acceder a l'API de Le Bureau depuis des scripts, outils d'automatisation, pipelines CI/CD et integrations personnalisees -- partout ou vous ne pouvez pas utiliser une session navigateur.

Chaque cle est liee a votre compte et accorde les memes permissions que votre session connectee.

Creer une cle API

  1. Allez dans Settings > API Keys dans le tableau de bord
  2. Cliquez sur Create API Key
  3. Donnez un nom descriptif a votre cle (ex : "Pipeline CI", "Script de monitoring")
  4. Copiez la cle immediatement -- elle n'est affichee qu'une seule fois

La cle ressemblera a : lb_k_a1b2c3d4e5f6...

Le prefixe lb_k_ identifie la cle comme une cle API Le Bureau. Le reste est une chaine aleatoire cryptographiquement securisee.

Important : la cle en clair n'est affichee qu'a la creation. Le Bureau stocke un hash bcrypt, pas la cle elle-meme. Si vous perdez la cle, vous devez la revoquer et en creer une nouvelle.

Utiliser votre cle API

Passez la cle dans le header x-api-key a chaque requete :

# Lister vos bureaux
curl https://lebureau.talentai.fr/api/desktops \
  -H "x-api-key: lb_k_a1b2c3d4e5f6..."

# Creer une tache
curl -X POST https://lebureau.talentai.fr/api/mission-control/tasks \
  -H "x-api-key: lb_k_a1b2c3d4e5f6..." \
  -H "Content-Type: application/json" \
  -d '{"type": "prompt", "content": "Lancer les tests", "desktopId": "..."}'

Lister vos cles

Consultez toutes les cles actives depuis le tableau de bord ou via l'API :

curl https://lebureau.talentai.fr/api/auth/api-keys \
  -H "x-api-key: lb_k_a1b2c3d4e5f6..."

La reponse inclut le nom de chaque cle, sa date de creation et un apercu masque (4 derniers caracteres). La cle complete n'est jamais retournee apres la creation.

Revoquer une cle

Pour revoquer une cle depuis le tableau de bord, cliquez sur le bouton Revoke a cote d'elle dans la page des parametres API Keys.

Via l'API :

curl -X DELETE https://lebureau.talentai.fr/api/auth/api-keys/key-id-here \
  -H "x-api-key: lb_k_a1b2c3d4e5f6..."

La revocation est immediate. Toute requete utilisant la cle revoquee recevra une reponse 401 Unauthorized.

Recommandations

PratiquePourquoi
Une cle par integrationRevoquer l'acces d'une integration sans affecter les autres
Noms descriptifsSavoir quelle cle appartient a quel systeme d'un coup d'oeil
Rotation reguliereLimiter la fenetre d'exposition si une cle est compromise
Ne jamais commiter les clesUtilisez des variables d'environnement ou des gestionnaires de secrets
Revoquer les cles inutiliseesMoins de cles actives signifie une surface d'attaque reduite

Limitation de debit sur les tentatives echouees

Le Bureau suit les tentatives d'authentification echouees par adresse IP. Apres 10 tentatives de cle API echouees en 60 secondes, l'IP est temporairement bloquee pour l'authentification par cle API.

Cela protege contre les attaques par force brute mais signifie que vous devez verifier que votre cle est correcte avant de lancer des boucles automatisees. Une faute de frappe dans votre cle pourrait bloquer temporairement votre IP.

Voir Authentification API pour les details complets sur la limitation de debit.

Articles connexes

Authentification API

Deux methodes d'authentification pour l'API : cookies de session pour le navigateur et cles API pour l'acces programmatique.

Endpoints desktop

Reference API pour la gestion des bureaux, l'interaction, le chat, les operations fichiers et les metriques.

PreviousAuthentification API
NextEndpoints desktop