Authentification

La REST API de Tapeto (api.tapeto.dev, chemin de base /api/v1) prend en charge deux méthodes d’authentification.

Clés API (recommandées pour les intégrations)

Générez une clé depuis votre compte (Settings → API Keys → Create). Une clé se présente sous la forme tk_live_ suivi de 40 caractères hexadécimaux.

curl https://api.tapeto.dev/api/v1/conversions \
  -H "x-api-key: tk_live_xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"

Comportement des clés :

• Les clés peuvent avoir une date d’expiration facultative (expires_at) ; les clés expirées sont rejetées.
• Chaque utilisation met à jour last_used_at, afin que vous puissiez repérer les clés inutilisées ou obsolètes.
• Gérez vos clés avec :
  • GET /api/v1/auth/api-keys — liste vos clés (seulement le préfixe et les métadonnées, jamais la clé complète)
  • POST /api/v1/auth/api-keys — crée une clé ({ name, expires_at?, scopes? })
  • DELETE /api/v1/auth/api-keys/:id — révoque une clé

Jetons bearer (utilisés par l’application web)

L’application web Tapeto s’authentifie avec un jeton de session JWT émis par InsForge, envoyé comme un jeton bearer standard :

Authorization: Bearer <token>

C’est le même mécanisme que l’application web utilise elle-même après votre connexion — la plupart des intégrations API devraient plutôt utiliser une clé API, car elle n’expire pas à la fin d’une session.

Limites de débit

Les requêtes sont limitées par minute, selon votre plan :

Lorsque vous atteignez la limite, l’API répond avec 429 et ces en-têtes :

X-RateLimit-Limit
X-RateLimit-Remaining
X-RateLimit-Reset

Étape suivante

Poursuivez avec la Référence des points de terminaison pour l’API des conversions et des webhooks.