Servolution developers

Authentification

L'API Servolution utilise un schéma API Key simple via header HTTP X-API-Key. Chaque clé est rattachée à un user_id et à un company_id du SaaS qui l'a émise.

Format de la clé

sk_srv_<43 caractères url-safe>
exemple : sk_srv_zCmK4xT7qH1P9wYbN2eAgL5iV6oRsJ3uX8fD0pE

Préfixe sk_srv_ = "secret key Servolution". Le préfixe court (12 chars) reste visible dans votre Settings, le secret est haché en SHA-256 côté serveur — nous ne pouvons pas vous le restituer si vous le perdez.

Scopes

Chaque clé porte une liste de scopes (par défaut : ["read"]). Liste standard :

ScopePermet
readLecture (GET)
writeCréation / modification (POST/PATCH/PUT)
deleteSuppression (DELETE)
adminEndpoints administratifs (super-admin du tenant)
webhooksCréation/lecture des endpoints webhooks
*Toutes les scopes (à éviter en prod)

Quotas et rate-limiting

TierQuota / jourUsage typique
Free1 000 reqTests, scripts d'import ponctuels
Pro10 000 reqSync Zapier/Make/n8n quotidienne, intégration légère
EnterpriseillimitéConnecteur ERP/CRM temps réel, marketplace

Reset à minuit UTC. Headers retournés sur chaque réponse :

X-RateLimit-Limit:     1000
X-RateLimit-Remaining: 998
X-RateLimit-Reset:     43200

Expiration et rotation

Une clé peut être créée avec expires_in_days (par défaut 365). Au-delà : 401. Pour faire tourner une clé sans coupure :

  1. Créez une nouvelle clé avec le même libellé suffixé -v2
  2. Déployez-la sur vos systèmes
  3. Vérifiez le last_used_at de l'ancienne clé : quand il ne bouge plus depuis 24h, révoquez-la

Révocation

curl -X DELETE https://app.commertra.servolution.fr/api/v1/api-keys/42 \
  -H "Authorization: Bearer <votre JWT user>"

Une clé révoquée renvoie immédiatement 401 sur tous les appels (vérifié à chaque requête, pas de cache).

Bonnes pratiques