L’API SandPay s’authentifie par clé API transmise dans l’en-tête HTTP Authorization au format Bearer.
Chaque clé suit le préfixe sp_sk_<env>_<random> :
| Préfixe | Environnement | Transactions |
|---|
sp_sk_test_... | Sandbox | Simulées, sans coût |
Authorization: Bearer sp_sk_test_a1b2c3d4e5f6...
Ne committez jamais une clé dans Git. Stockez-la dans une variable d’environnement (SANDPAY_API_KEY) ou un secret manager (Doppler, AWS Secrets Manager, Vercel Env Vars). Toute clé poussée publiquement sera automatiquement révoquée par notre scanner GitHub.
Créer une clé
Depuis le dashboard :
- Allez sur
/settings/api-keys.
- Cliquez sur Nouvelle clé.
- Donnez-lui un libellé (par ex.
backend-server, ci-pipeline).
- Copiez la valeur complète. Elle n’est affichée qu’une seule fois — seul le préfixe reste visible ensuite.
Rotation et révocation
Toute clé peut être révoquée individuellement depuis la même page. Pour une rotation propre :
- Créez une nouvelle clé.
- Déployez-la dans vos environnements.
- Une fois le trafic basculé, révoquez l’ancienne.
Aucune fenêtre de grâce n’est appliquée : la révocation est immédiate. Les requêtes en vol qui utilisent encore l’ancienne clé recevront 401 unauthorized.
Mode sandbox
Toutes les transactions sont simulées via le moteur de scénarios — aucun argent ne circule, aucun appel réseau n’est fait vers les API opérateurs réels.
Erreurs d’auth
Une clé absente, mal formée, révoquée ou expirée renvoie 401 unauthorized. Voyez la page Erreurs pour le détail des codes. 
