Aller au contenu

Authentification & permissions

  • Format : ws_live_ + 40 caractères hexadécimaux.
  • Une clé appartient au workspace (pas à une personne) et se passe en en-tête : Authorization: Bearer ws_live_….
  • Montrée une seule fois à la création ; seul un hash est conservé chez nous.
  • Révocable à tout moment depuis le dashboard — effet immédiat sur l’API et le MCP.

Chaque clé porte des permissions précises, choisies à la création :

Scope Donne accès à
leads:read / leads:write Lire les leads / modifier statut & tags
conversations:read Boîte de réception + historique des messages
lists:read / lists:write Lister / créer des listes, importer des contacts
campaigns:read / campaigns:write Lister / mettre en pause & relancer
messages:send Envoyer des messages (anti-ban appliqué)
bookings:read Les rendez-vous pris
groups:read Les groupes WhatsApp gérés
webhooks:manage Créer / supprimer / tester des webhooks

Une clé sans le bon scope reçoit 403 insufficient_scope — donne à chaque intégration le minimum dont elle a besoin.

Les requêtes sont limitées par workspace et par minute selon ton plan (de 60 à 1 000 req/min). Chaque réponse porte les en-têtes X-RateLimit-Limit / X-RateLimit-Remaining ; en cas de dépassement : 429 rate_limited + Retry-After.

Les envois de messages ont en plus leur propre budget quotidien par numéro WhatsApp (X-Quota-*) — voir anti-ban.

  • Stocke la clé dans un gestionnaire de secrets, jamais dans le code.
  • Une clé par intégration (CRM, Zapier, scripts…) : révoquer l’une ne casse pas les autres.
  • Fais une rotation si tu suspectes une fuite : crée la nouvelle, bascule, révoque l’ancienne.