Lancement officiel imminentFIDΣLIS finalise les derniers ajustements pour offrir une plateforme comptable robuste, fiable et conforme aux normes québécoises.Demander un accès anticipé
FIDΣLIS — Tout balance.
Retour à l'aide

API publique

Authentification — créer et utiliser un token

Comment générer un token API FIDΣLIS, l'utiliser dans tes requêtes et le sécuriser correctement.

5 min de lecturePublié 2026-05-18apiauthentificationtokensécurité

Étape 1 — Créer un token

  1. Connecte-toi à FIDΣLIS et va sur Paramètres → Tokens API (raccourci)
  2. Clique Nouveau token
  3. Donne-lui un nom descriptif pour t'y retrouver plus tard, par exemple :
    • Maître'd Production
    • Script import fournisseurs hebdomadaire
    • Application mobile équipe
  4. Coche les scopes (permissions) requis. Principe du moindre privilège : ne donne que ce qui est nécessaire.

Scopes disponibles

ScopePermission
contacts:readLire la liste des contacts
contacts:writeCréer / modifier des contacts
products:readLire la liste des produits
products:writeCréer / modifier des produits
invoices:readLire les factures
invoices:write(Bientôt) Créer / modifier des factures
expenses:readLire les dépenses
expenses:write(Bientôt) Créer / modifier des dépenses
  1. Clique Créer le token.
  2. Une fenêtre affiche le token en clair UNE SEULE FOIS. Il commence par fdl_….

⚠️ Copie-le immédiatement et stocke-le en lieu sûr. Une fois la fenêtre fermée, tu ne pourras plus le revoir. Si tu le perds, révoque-le et crée-en un nouveau.

Étape 2 — Utiliser le token

Chaque requête doit inclure ton token dans l'en-tête Authorization :

Authorization: Bearer fdl_xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Exemple avec curl

curl https://fidelis-comptable.com/api/v1/contacts \
  -H "Authorization: Bearer fdl_TON_TOKEN_ICI"

Exemple en JavaScript / Node.js

const response = await fetch("https://fidelis-comptable.com/api/v1/contacts", {
  headers: {
    "Authorization": "Bearer fdl_TON_TOKEN_ICI",
  },
});
const { data } = await response.json();
console.log(data); // Tableau de contacts

Exemple en Python

import requests

response = requests.get(
    "https://fidelis-comptable.com/api/v1/contacts",
    headers={"Authorization": "Bearer fdl_TON_TOKEN_ICI"},
)
contacts = response.json()["data"]

Étape 3 — Sécuriser ton token

Un token donne accès à toutes les données de ton organisation pour les scopes accordés. Traite-le comme un mot de passe.

✅ Bonnes pratiques

  • Variables d'environnement : stocke le token dans une variable d'env (jamais en dur dans le code)
  • Gestionnaire de secrets : pour les déploiements en production (1Password, AWS Secrets Manager, Vercel env vars, etc.)
  • Token par usage : un token différent pour chaque intégration (POS, ERP, scripts), pour pouvoir révoquer indépendamment
  • Scopes minimaux : ne coche que les permissions vraiment nécessaires
  • Rotation périodique : régénère tes tokens tous les 6-12 mois

❌ À ne jamais faire

  • ❌ Commiter un token dans Git (même un dépôt privé)
  • ❌ Inclure un token dans une application mobile/web côté client (visible par les utilisateurs)
  • ❌ Partager un token par courriel ou Slack en clair
  • ❌ Réutiliser un token sur plusieurs serveurs / environnements

Étape 4 — Révoquer un token compromis

Si tu soupçonnes une fuite :

  1. Va sur Paramètres → Tokens API
  2. Clique Révoquer sur la ligne du token concerné
  3. Confirme l'action

La révocation est instantanée et irréversible. Toutes les requêtes utilisant ce token échoueront immédiatement avec une erreur 401 unauthorized.

Ensuite, crée un nouveau token, déploie-le dans ton intégration, et investigue la cause de la fuite.

Vérifier l'utilisation d'un token

Sur la page Paramètres → Tokens API, chaque token affiche :

  • Dernière utilisation — quand il a été utilisé pour la dernière fois
  • Requêtes — compteur total de requêtes effectuées
  • Statut — Actif, Expiré (si tu as défini une date), ou Révoqué

Surveille les compteurs : un token jamais utilisé pendant plusieurs mois peut être révoqué.