Authentification
L’API Sangho utilise des clés API pour authentifier les requêtes. Chaque App dispose d’une clé publique et d’une clé secrète.
Types de clés
| Type | Préfixe (live) | Préfixe (test) | Usage |
|---|---|---|---|
| Clé Publique | apk_live_ | apk_test_ | Initialisation SDK côté client uniquement |
| Clé Secrète | sk_live_ | sk_test_ | Requêtes serveur uniquement — ne jamais exposer |
Utilisation en header HTTP
Ajoutez votre clé secrète dans le header Authorization de chaque requête, préfixée par Bearer.
Sandbox vs. Production
Les clés sk_test_ pointent vers la base Sandbox — aucune transaction réelle. Les clés sk_live_ déclenchent des transactions réelles.
Ne jamais utiliser une clé sk_live_ en frontend ou dans du code JavaScript côté client. Elle pourrait être exposée et compromise.
Rotation de clés
- 1. Créez une nouvelle clé depuis Dashboard → Paramètres → Clés API
- 2. Mettez à jour votre configuration serveur avec la nouvelle clé
- 3. Révoquez l’ancienne clé — elle est immédiatement invalidée
- 4. Toutes les requêtes avec l’ancienne clé retourneront 401
Idempotency Key
Pour les requêtes POST critiques (PaymentIntent, Refund), ajoutez un header Idempotency-Key unique. Si vous re-soumettez la même requête dans les 24h, Sangho retourne la même réponse sans créer de doublon.
Header d’authentification
Avec Idempotency Key
Exemple d’appel authentifié
Réponse — Clé invalide (401)
Récupérez vos clés depuis Dashboard → Développeurs → Clés API. Les clés test sont visibles dès l’inscription, sans KYC requis.