L’API utilise le protocole OAuth2 avec le mécanisme de « service account » pour sécuriser l’accès.

Principe

Chaque application cliente doit s’authentifier en générant un jeton d’accès (« access token ») via un compte de service dédié. Ce jeton doit ensuite être transmis dans l’en-tête Authorization de chaque requête à l’API.

Obtention des informations d'authentification

Une personne authentifiée avec un profil administrateur cabinet pourra obtenir gérer les comptes de services utilisés pour l'API publique de Wagyz. 
Pour obtenir un nouvel accès, rendez-vous dans la partie administration cabinet de Wagyz : 

Sélectionnez la tuile Organisation :

Puis dans l'onglet "Comptes de Service", vous pouvez gérer vos comptes de service : 

• Visualiser les identifiants déjà créés sur chaque compte de service
• Régénérer des identifiants pour un compte de service
• Créer un nouveau compte de service.
  • Le profil a sélectionner pour les API Wagyz est "PUBLIC_API" 

Pour toute question à ce sujet, vous pouvez également créer une demande via la plateforme https://chapsoft.atlassian.net/servicedesk/customer/portals : 

Obtention d’un jeton d’accès

Pour obtenir un jeton, il faut effectuer une requête HTTP POST auprès du endpoint d’authentification :

Pour la recette, l'url est : https://auth.recette.wagyz.fr/realms/chapsoft/protocol/openid-connect/token 

Pour la production, l'url est : https://auth.wagyz.fr/realms/chapsoft/protocol/openid-connect/token 

Avec pour payload (x-www-form-urlencoded) :

• grant_type=client_credentials
• client_id=[client_id]
• client_secret=[client_secret]
• scope=openid

Réponse attendue :

Utilisation du jeton d’accès

Pour chaque appel à l’API, il convient d'ajouter l’en-tête HTTP suivant :

Authorization: Bearer eyJ...abc

Exemple d’appel :

Sécurité et bonnes pratiques

• Les jetons d’accès expirent automatiquement, il faut les régénérer régulièrement

• Les credentials sont confidentiels, attention à ne jamais les exposer dans un code source public