Authentification
Vos appels serveur sont authentifiés par votre clé API, sur TLS.
| En-tête | Valeur |
|---|---|
X-Api-Key | identifiant public pk_{env}_… |
X-Api-Secret | secret sk_{env}_… |
curl https://api-switag.pluxce.com/v1/biz/ping \
-H "X-Api-Key: pk_live_3f9a…" \
-H "X-Api-Secret: sk_live_…"Environnements#
Une clé est test ou live (pk_test_… / pk_live_…). Testez tout en test ; le mode live s'active après validation du compte (KYB).
Scopes#
| Scope | Permet |
|---|---|
charges.write | créer / annuler / rembourser des charges, créer des mandats |
billers.write | créer / modifier des produits facturiers |
disbursements.write | créer des versements et schedules |
read | lectures marchandes: charges, abonnements, reversements, overview |
Session dashboard vs API keys
Le tableau de bord marchand utilise une session JWT distincte de vos clés API. Les actions serveur-à-serveur doivent toujours passer par X-Api-Key + X-Api-Secret.
Gardez le secret côté serveur
Le secret donne un accès complet à votre compte marchand. Ne l'exposez jamais dans un front-end ou une app mobile. En cas de fuite, révoquez la clé depuis le tableau de bord et créez-en une nouvelle.
Erreurs#
Toute réponse non-2xx partage l'enveloppe ErrorBody :
{ "code": "invalid_amount", "message": "Montant invalide." }code est stable entre versions — testez-le côté client.