Authentification
Clés API, JWT signataires, scopes et bonnes pratiques de rotation.
Clés API
Toutes les requêtes serveur-vers-Signlift utilisent une clé API transmise via le header
X-Api-Key. Les clés sont émises dans le dashboard.
| Préfixe | Environnement | Trafic réel |
|---|---|---|
sk_sandbox_* | Sandbox | Non |
sk_live_* | Production | Oui |
curl https://api-sandbox.signlift.io/api/v1/signature_requests \
-H "X-Api-Key: sk_sandbox_..."JWT signataires
Pour intégrer le flow de signature en iframe, Signlift émet un JWT court-lived
(sgn_jwt_*) à passer dans l'URL /sign/:token. Ces JWT ne donnent accès qu'à la
signature en cours, jamais à l'API.
signer.generate_jwt
# => "eyJhbGciOiJIUzI1NiJ9..."Voir le guide d'intégration iframe pour le pattern complet.
Rotation et révocation
- Rotation : créez une nouvelle clé, déployez, puis révoquez l'ancienne. Pas de downtime.
- Révocation immédiate : un seul clic dans le dashboard.
- Audit : chaque usage de clé est tracé dans l'audit log (IP, user-agent, endpoint).
Erreurs liées à l'auth
| Code HTTP | Erreur | Cause |
|---|---|---|
| 401 | invalid_api_key | Clé absente, mal formée ou révoquée. |
| 403 | wrong_environment | Clé sandbox sur prod (ou inverse). |
| 403 | quota_exceeded | Plan dépassé (cf. Retry-After header). |