NouveauDécouvrir comment
FirstSales
Accueil/Tutoriels/Comment créer et gérer des clés API développeur dans FirstSales
Développeur & CLI

Comment créer et gérer des clés API développeur dans FirstSales

Générez des clés API à privilège minimal avec des portées par ressource, utilisez-les avec la CLI et l'API REST, et faites-les tourner ou révoquez-les en toute sécurité sans interruption.

7 min de lecture·Intermédiaire·6 étapes
  1. 1

    Ouvrez Settings → API

    Les clés API se trouvent dans Settings → API. C'est ici que vous générez l'identifiant qui authentifie la CLI et tout appel direct à https://api.app.firstsales.io. Il vous faut la permission adéquate pour voir cet onglet.

  2. 2

    Créez une clé avec des scopes à privilège minimal

    Cliquez pour créer une clé, donnez-lui un nom (quelque chose qui indique où elle est utilisée, par exemple « ci-contact-sync »), et cochez uniquement les scopes nécessaires. Les scopes sont par ressource et séparent lecture et écriture — par exemple contacts:read, contacts:write, campaigns:read, kb:read. Il existe un scope * qui accorde tous les droits ; évitez-le sauf besoin réel d'accès complet.

    Créez une clé avec des scopes à privilège minimal
  3. 3

    Copiez la clé immédiatement

    La clé complète est affichée une seule fois — « Copy this key now. It will not be shown again. » Copiez-la directement dans votre gestionnaire de secrets ou votre gestionnaire de mots de passe. Si vous la perdez, elle ne peut pas être récupérée ; vous devez la révoquer et en créer une nouvelle. Ne la collez jamais dans du code, un chat, ou un commit.

  4. 4

    Utilisez-la avec la CLI

    Exportez la clé sous FIRSTSALES_API_KEY et la CLI la récupère automatiquement. Vérifiez avec whoami avant toute autre action :

    export FIRSTSALES_API_KEY="fs_live_..."   # from your secret store, never hardcoded
    firstsales whoami --json
  5. 5

    Utilisez-la directement avec l'API

    Pour du HTTP brut, envoyez la clé comme jeton Bearer. Commencez par whoami pour confirmer que la clé est valide et connaître l'org/workspace auquel elle donne accès :

    curl -s https://api.app.firstsales.io/api/v1/whoami \
      -H "Authorization: Bearer $FIRSTSALES_API_KEY"
  6. 6

    Faites une rotation et révoquez

    Chaque clé de la liste peut être révoquée, et la révocation est immédiate et sans annulation possible — toute CLI ou tout service qui l'utilise échoue au prochain appel. Pour la rotation : créez la nouvelle clé, déployez-la dans votre gestionnaire de secrets, confirmez qu'elle fonctionne, puis révoquez l'ancienne. Révoquez instantanément si une clé est un jour exposée.

Astuces de pro

Des raccourcis chèrement acquis pour garder le préchauffage sur la bonne voie.

1

Une clé par consommateur

Donnez à votre CI, votre ordinateur portable, et chaque intégration sa propre clé nommée. Quand l'une fuite ou qu'un service est retiré, vous ne révoquez que cette clé au lieu de tout casser.

2

Le privilège minimal prime sur la commodité

Une synchronisation en lecture seule n'a pas besoin de contacts:write, et presque rien n'a besoin de `*`. Restez précis dans les scopes — une clé en lecture seule qui fuite ne peut pas modifier vos données.

3

Copiez une fois, stockez dans un gestionnaire de secrets

La clé n'est affichée qu'une seule fois. Collez-la directement dans votre gestionnaire de secrets CI ou votre gestionnaire de mots de passe — jamais dans le code source, un .env que vous pourriez commiter, ou un message de chat.

4

Faites une rotation avec chevauchement, pas de coupure

Créer-déployer-vérifier-puis-révoquer. Révoquer avant que le remplacement soit actif provoque une interruption ; la fenêtre de chevauchement maintient les appels pendant la rotation.

Questions fréquentes

Où créer une clé API ?

Settings → API. Donnez-lui un nom, cochez les scopes nécessaires, et créez-la. La clé authentifie à la fois la CLI et les appels API directs.

Que sont les scopes ?

Des permissions par ressource, séparant lecture et écriture — par exemple contacts:read, campaigns:write, kb:read, plus un * qui accorde tous les droits. Ne cochez que ce dont le consommateur de la clé a besoin.

J'ai perdu ma clé — puis-je la revoir ?

Non. La clé complète est affichée une seule fois à la création (“It will not be shown again”). Si vous la perdez, révoquez cette clé et créez-en une nouvelle.

Comment la CLI utilise-t-elle la clé ?

Définissez-la comme variable d'environnement FIRSTSALES_API_KEY ; la CLI la lit automatiquement. Exécutez firstsales whoami pour confirmer que ça fonctionne.

Comment révoquer une clé ?

Dans la liste des paramètres API, révoquez-la. La révocation est immédiate et permanente — tout ce qui utilise cette clé échoue au prochain appel, donc faites d'abord la rotation vers un remplacement.

Comment faire une rotation de clés en toute sécurité ?

Créez la nouvelle clé, déployez-la, confirmez qu'elle fonctionne, puis révoquez l'ancienne. Ce chevauchement évite une interruption. Ne révoquez immédiatement (sans chevauchement) que si une clé est exposée.

Prêt à passer à la pratique ?

Démarrez votre essai FirstSales et lancez une boîte mail préchauffée et authentifiée en quelques minutes.

Commencer pour 1 $