MobupayMobupayDocumentation
Chargement de vos clés API…

Authentification

Authentifiez vos requêtes avec une clé API.

L'API Mobupay s'authentifie via une clé secrète envoyée dans l'en-tête Authorization de chaque requête HTTP. Vous générez et révoquez vos clés depuis l'onglet Développeur → Clés API.

Authorization: Bearer sk_test_XXXXXXXXXXXXXXXXXXXX

Préfixes de clé

PréfixeEnvironnementEffet
sk_test_TestAucun débit réel. Cartes de test acceptées.
sk_live_ProductionDébits réels (paiements en production).

Permissions

À la création, vous choisissez un preset de permissions qui limite les opérations possibles avec la clé :

  • Full access — toutes les opérations
  • Payments only — créer et lire des paiements
  • Read only — consultation uniquement
  • Payouts only — virements bancaires

Les permissions granulaires (par endpoint) sont accessibles via l'API admin.

IP whitelist (recommandé en prod)

Restreignez l'usage d'une clé sk_live_* aux IP de votre backend. Notation CIDR supportée (ex : 198.51.100.0/24). Toute requête venant d'une autre IP est refusée avec un 403 IP_NOT_ALLOWED.

Sécurité

Ne jamais exposer votre clé secrète côté client (navigateur, mobile, code source public). Une clé compromise doit être révoquée immédiatement depuis le BO. Les appels API s'effectuent uniquement depuis votre backend.