Authentification
Chaque requête REST s’authentifie avec une clé API envoyée en tant que jeton Bearer. (Les points de terminaison de vérification publics sont la seule exception — ils ne nécessitent aucune clé, car le numéro de série imprimé est la credential.)
# Clés API
Créez des clés dans l’application sous Paramètres → Clés API. Il y a deux types :
| Préfixe | Utilisation |
|---|---|
mtq_live_… |
Production — déduit de votre quota de plan. |
mtq_test_… |
Tests. |
Les clés s’affichent une seule fois à la création — stockez-les en lieu sûr. Seul un hash SHA-256 est conservé côté serveur, donc une clé perdue ne peut pas être récupérée, seulement révoquée et remplacée.
# Envoi de la clé
Ajoutez un en-tête Authorization à chaque requête :
Authorization: Bearer mtq_live_xxxxxxxxxxxxxxxxxxxxxxxx
curl https://mostlyqr.com/api/v1/links \
-H "Authorization: Bearer mtq_live_…"
Une clé manquante, invalide ou révoquée retourne 401. Chaque clé est soumise à un débit limite par fenêtre
fixe ; le dépasser retourne 429. Voir Erreurs.
# URL de base
https://mostlyqr.com/api
Les requêtes à /api/** sont routées vers la fonction REST par une réécriture Hosting. (L’URL de fonction brute
https://europe-west2-mostly-qr.cloudfunctions.net/restApi fonctionne également.)
# Restriction par plan
Certains points de terminaison nécessitent un plan payant : l’API REST et batch sont Pro+, et
les codes sérialisés sont Enterprise. Une requête au-delà des droits de votre plan
retourne 403/failed-precondition avec la limite dans l’erreur. Voir votre plan dans Paramètres.
# Sécuriser les clés
- Ne distribuez jamais une clé dans du code côté client ou un dépôt public.
- Renouvelez en créant une nouvelle clé et en révoquant l’ancienne ; la révocation est immédiate.