Passer au contenu principal

Clés secrètes

L’API publique s’authentifie avec une clé secrète de projet envoyée en jeton Bearer : 
Authorization: Bearer sk_live_xxx
Les clés commencent par sk_. Traitez-les comme des mots de passe : gardez-les côté serveur, ne les commitez jamais, et faites-les tourner depuis le dashboard en cas de fuite.
Quiconque possède votre clé secrète peut déplacer de l’argent en votre nom. Ne l’exposez jamais dans un navigateur, une application mobile ou un dépôt public.

Environnements

Chaque compte passerelle est isolé par environnement (live / sandbox). L’environnement est déterminé par la clé utilisée ; l’URL de base reste la même : 
https://api.orqex.com/v1

Limitation de débit

L’API publique est limitée en débit. Au-delà de la limite, vous recevez 429 Too Many Requests ; patientez puis réessayez après le délai indiqué dans l’en-tête Retry-After. Le SDK PHP réessaie automatiquement avec un backoff exponentiel.

Idempotence

Envoyez un en-tête X-Idempotency-Key sur les requêtes d’écriture afin qu’une requête réessayée ne soit jamais traitée deux fois : 
curl https://api.orqex.com/v1/payment/intents \
  -H "Authorization: Bearer sk_live_xxx" \
  -H "X-Idempotency-Key: commande-1024" \
  -H "Content-Type: application/json" \
  -d '{ ... }'
La clé doit faire de 8 à 128 caractères. Les rejeux renvoient la réponse d’origine avec X-Idempotent-Replayed: true. Voir Idempotence.