# Authentication

Les endpoints de l'API de Moneroo sont sécurisés par des clés d'API, que vous pouvez créer à partir du tableau de bord. Vous devez inclure votre **clé d'API** dans toutes les requêtes d'API adressées au serveur en tant que champ d'en-tête.

Pour interagir avec l'API de Moneroo, vous devez ajouter un en-tête d'autorisation (`Authorization header`) incluant votre **clé secrète**. Vous pouvez gérer vos clés d'API depuis le tableau de bord.

En général, nous fournissons des **clés publiques** et **clés secrètes**. Les clés publiques sont destinées à être utilisées à partir de votre interface lors de l'intégration à l'aide des SDK JavaScript et dans nos SDK mobiles uniquement. De par leur conception, les clés publiques ne peuvent modifier aucune partie de votre compte, sauf pour initier des transactions vers vous. Les clés secrètes, en revanche, doivent rester **secrètes**. Si, pour une raison quelconque, vous pensez que votre clé secrète a été compromise ou si vous souhaitez la réinitialiser, vous pouvez le faire à partir du tableau de bord.

Pour créer des clés d'API, rendez-vous dans la section développeur de votre application Moneroo.

<figure><img src="https://953366264-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FwlygsCi74JW2nJTRD6cj%2Fuploads%2FkYdCVDZ7Up7eTOoKVfPj%2FCleanShot%202023-09-29%20at%2014.49.41%402x.png?alt=media&#x26;token=bc54ad34-22e4-4d08-9c30-e60ed818a9c7" alt=""><figcaption></figcaption></figure>

{% hint style="danger" %}
Ne "commitez" pas vos clés secrètes sur git, et ne les utilisez pas dans du code côté client.
{% endhint %}

Lorsque vous construisez et testez votre intégration, vous devez utiliser les **clés API Sandbox**. Pour en savoir plus sur le mode Sandbox, consultez notre guide sur les tests de l'API Moneroo. Une fois que vous êtes prêt à traiter des paiements réels, remplacez votre **clé de test** par des **clés d'API en direct**.

Il est très important de **sécuriser toutes les clés d'API**. Ne les partagez jamais. Toutefois, si une clé fuite, vous pouvez toujours la supprimer. N'oubliez pas d'appliquer les nouvelles clés à votre code. Tant que vous ne l'aurez pas fait, votre intégration ne fonctionnera pas.

### Authentication d'une requête API

La **clé ou le jeton d'API** doit être envoyé avec chaque demande d'API, en le fournissant dans l'en-tête `Authorization` de l'appel HTTP à l'aide de la méthode Bearer.

Par exemple, un en-tête Authorization valide est :&#x20;

```
Authorization: Bearer test_dHar4XY7LxsDOtmarVtjNVWXLSlXsM
```

En général, nos SDK fournissent des raccourcis permettant de définir facilement la clé API ou le jeton d'accès.

Dans l'exemple ci-dessous, nous utilisons une **clé API de test** pour la méthode GET de la ressource de paiement. Cette méthode permet de récupérer un paiement, dans ce cas, le paiement avec l'ID `test_yyfbwekjnsd`.

```http
GET /payments/test_yyfbwekjnsd HTTP/1.1
Host: api.moneroo.com
Authorization: Bearer test_dHar4XY7LxsDOtmarVtjNVWXLSlXsM
```

```bash
curl https://api.moneroo.io/v1/payments/test_yyfbwekjnsd
-H "Authorization: Bearer YOUR_SECRET_KEY"
-X GET
```

{% hint style="warning" %}
Ne mettez pas `VERIFY_PEER` à `FALSE`. Assurez-vous que votre serveur vérifie la connexion SSL à Moneroo.
{% endhint %}

### Limites de nombre de requêtes

L'API Moneroo a une limite de **120 requêtes par minute**. Si vous dépassez cette limite, vous obtiendrez une réponse **429 Too Many Requests**. Si vous obtenez cette réponse, attendez une minute avant de réessayer votre requête.