Authentification & permissions
Les clés API
Section intitulée « Les clés API »- Format :
ws_live_+ 40 caractères hexadécimaux. - Une clé appartient au workspace (pas à une personne) et se passe en
en-tête :
Authorization: Bearer ws_live_…. - Montrée une seule fois à la création ; seul un hash est conservé chez nous.
- Révocable à tout moment depuis le dashboard — effet immédiat sur l’API et le MCP.
Les scopes
Section intitulée « Les scopes »Chaque clé porte des permissions précises, choisies à la création :
| Scope | Donne accès à |
|---|---|
leads:read / leads:write |
Lire les leads / modifier statut & tags |
conversations:read |
Boîte de réception + historique des messages |
lists:read / lists:write |
Lister / créer des listes, importer des contacts |
campaigns:read / campaigns:write |
Lister / mettre en pause & relancer |
messages:send |
Envoyer des messages (anti-ban appliqué) |
bookings:read |
Les rendez-vous pris |
groups:read |
Les groupes WhatsApp gérés |
webhooks:manage |
Créer / supprimer / tester des webhooks |
Une clé sans le bon scope reçoit 403 insufficient_scope — donne à chaque
intégration le minimum dont elle a besoin.
Limites de débit
Section intitulée « Limites de débit »Les requêtes sont limitées par workspace et par minute selon ton plan
(de 60 à 1 000 req/min). Chaque réponse porte les en-têtes
X-RateLimit-Limit / X-RateLimit-Remaining ; en cas de dépassement :
429 rate_limited + Retry-After.
Les envois de messages ont en plus leur propre budget quotidien par
numéro WhatsApp (X-Quota-*) — voir anti-ban.
Bonnes pratiques
Section intitulée « Bonnes pratiques »- Stocke la clé dans un gestionnaire de secrets, jamais dans le code.
- Une clé par intégration (CRM, Zapier, scripts…) : révoquer l’une ne casse pas les autres.
- Fais une rotation si tu suspectes une fuite : crée la nouvelle, bascule, révoque l’ancienne.

