Passer au contenu principal
Les clés API permettent aux scripts, aux outils sans code et à vos propres services d’appeler l’API REST de Flowella au nom de votre organisation. Cette page explique comment gérer les clés à partir de l’écran Réglages → Clés API de l’application. Pour savoir ce que l’API peut faire, consultez la référence API.

Qui peut gérer les clés API

Seuls les Propriétaires ou Admin peuvent voir Paramètres → Clés API. Les membres n’ont pas accès à cet écran et ne peuvent pas appeler les points d’extrémité de l’API.

Créer une clé API

1

Ouvrez Paramètres → Clés API

Dans la navigation de gauche, allez dans Paramètres → Clés API.
2

Cliquez sur Créer une clé

Donnez à la clé un étiquette qui décrit ce à quoi elle sert (par exemple, n8n production, analytics export script). Les labels ne sont visibles qu’à l’intérieur de Flowella - ils ne sont pas envoyés dans les requêtes de l’API.
3

Choisissez un champ d'application (facultatif)

Par défaut, les clés héritent de l’ensemble des points d’accès à l’API disponibles pour votre plan. Vous pouvez éventuellement restreindre une clé à un sous-ensemble de champs d’application - par exemple, analyse en lecture seule ou messages : envoi uniquement.
4

Copiez le secret immédiatement

Flowella montre le jeton secret exactement une fois dans une fenêtre modale de confirmation. Copiez-le maintenant - vous ne pourrez plus le voir. Si vous la perdez, vous devez révoquer la clé et en créer une nouvelle.
Le secret n’est montré qu’une seule fois. Flowella stocke une copie hachée et ne peut pas récupérer le texte en clair. Traitez les clés comme des mots de passe - ne les livrez jamais au contrôle des sources, ne les collez jamais dans un chat ou dans des documents partagés.

Utilisation d’une clé

Transmettez la clé en tant que jeton porteur à chaque demande : 
curl https://api.flowella.io/v1/messages \
  -H "Authorization: Bearer flwl_live_..." \
  -H "Content-Type: application/json"
Voir la référence API pour plus de détails sur les points de terminaison, les limites de débit et les codes d’erreur.

Afficher les clés existantes

La liste Paramètres → Clés API affiche les clés de chaque clé :
  • Étiquette
  • Préfixe (huit premiers caractères, comme flwl_live_a1b2c3) - utile pour la comparaison avec les journaux.
  • Champ d’application
  • Créé le et créé par
  • Dernière utilisation à - mis à jour à chaque demande réussie.
  • Statut** - actif ou révoqué.
Le secret en clair n’est jamais affiché après la création.

Rotation d’une clé

Il n’y a pas de rotation sur place - vous créez une nouvelle clé et révoquez l’ancienne une fois que votre service a basculé.
1

Créer un remplacement

Suivez le processus de création ci-dessus pour frapper une nouvelle clé avec la même portée.
2

Déployer le nouveau secret

Mettez à jour votre service (ou workflow n8n, environnement Postman, etc.) pour utiliser le nouveau jeton porteur.
3

Confirmez que la nouvelle clé est active

Surveillez le champ Dernière utilisation à de la nouvelle clé - il est mis à jour dans la minute qui suit le premier appel.
4

Révoquer l'ancienne clé

Cliquez sur Revoke sur la clé précédente. A partir de là, toute requête utilisant l’ancien secret renvoie 401 Unauthorized.

Révoquer une clé

Cliquez sur Revoke sur la ligne, puis confirmez dans la boîte de dialogue. La révocation est immédiate - les requêtes en vol utilisant cette clé peuvent se terminer, mais la requête suivante renvoie 401. Une clé révoquée ne peut pas être réactivée. La ligne reste visible dans la liste (en grisé, avec l’horodatage de la révocation), ce qui vous permet de disposer d’une piste d’audit.

Journal d’audit

Chaque événement création, révocation et (si activé) modification du périmètre est écrit dans le journal d’audit de l’org avec votre utilisateur, votre IP et votre contexte de traçage. Si votre plan ou votre contrat inclut la fonction de journal d’audit, vous pouvez y consulter l’activité des clés API.

Questions courantes

Il n’y a pas de limite stricte pour les plans hobby ou payants, mais un très grand nombre de clés actives (50+) rend la rotation et la révision difficiles. Utilisez une clé par intégration plutôt qu’une par développeur.
Les clés n’expirent pas automatiquement. Nous vous recommandons de les renouveler au moins tous les 12 mois et immédiatement si une clé a pu être exposée.
Actuellement, les clés sont limitées à l’organisation, et non à un canal spécifique. La délimitation au niveau du canal est prévue dans la feuille de route. En attendant, choisissez le canal actif via la charge utile de la demande ou le chemin d’accès.
Révoquez-le immédiatement de cette page. Créez un remplacement avec la même portée. Vérifiez dans le journal d’audit si des requêtes ont utilisé la clé pendant la période où elle a été exposée, et faites pivoter les secrets en aval que cette clé a pu créer (par exemple, les clés de signature des webhooks).

Lié

Introduction à l'API

Auth, erreurs, limites de taux, et pagination.

Crochets Web

Poussez les événements vers vos propres systèmes au lieu de les interroger.

Équipe et rôles

Seuls les propriétaires et les administrateurs peuvent gérer les clés API.

Sécurité des données

Couverture du journal d’audit pour les événements de création/révocation de clés.