Pour des raisons de sécurité et de traçabilité la plupart des actions effectuables sur l'API nécessitent d'être authentifié.
L'API Mobilic utilise une authentification par jeton d'accès : les requêtes dites authentifiées sont celles qui comportent un jeton valide.
Les jetons utilisés sont des jetons générés par l'API.
Lorsque une requête authentifiée parvient à l'API, celle-ci vérifie la validité du jeton. Si le jeton est valide, l'API considérera que la requête provient de l'utilisateur dont l'identité est associée au jeton.
L'API déterminera ensuite si l'utilisateur est bien autorisé à effectuer l'opération demandée avant de procéder à celle-ci.
Il existe 2 types de jetons d'accès :
Les jetons liés à un compte utilisateur : ils permettent de faire des requêtes au nom d'un utilisateur, pour toutes les sociétés dans lesquelles il serait rattaché.
Les jetons liés à un rattachement "Compte utilisateur / Société" : ils permettent de faire des requêtes au nom d'un utilisateur uniquement pour la société correspondante.
Ces deux types de jetons permettent d'effectuer les même requêtes, mais ont des méthodes de récupération différentes. Afin de voir celle qui convient le mieux à votre cas d'usage, vous pouvez voir leur méthode de récupération, ou contacter l'équipe Mobilic pour obtenir des conseils.
Jetons liés à un UtilisateurJetons liés à un RattachementIl convient de rajouter les deux header HTTP à vos requêtes :
X-CLIENT-ID
Le client_id fournir par l'équipe Mobilic
Authorization
Bearer <jeton_utilisateur>
X-CLIENT-ID
Le client_id fournir par l'équipe Mobilic
X-EMPLOYMENT-TOKEN
<jeton_rattachement>
Mis à jour
