Authentification

L'accès à l'API est protégé par un système d'authentification basé sur des tokens JWT à durée de vie limitée.

A l'aide des clés d'API (access_key et secret_key), vous pouvez obtenir un token d'accès (access_token) qui doit être envoyé dans les headers de chaque requête. Le token doit être envoyé dans l'en-tête Authorization sous la forme Bearer {access_token}.

La création des clés d'API est disponible uniquement pour les opérateurs de covoiturage dans leur interface d'administration. Ces clés n'ont pas de durée de vie limitée mais nous vous recommandons de les régénérer régulièrement et d'en créer une pour chaque environnement (production, pré-production, développement, etc...).

Votre serveur doit ensuite demander un nouveau token via la route /auth/access_token en utilisant les clés d'API à chaque fois qu'une requête authentifiée est executée.

Un exemple d'implémentation est disponible dans le dossier des tests end-to-end de l'API avec un SDK et plusieurs flows d'authentification. Voir le code sur Github