Authentification

Chaque demande REST (sauf les URL de rendu signées) s’authentifie avec une clé API envoyée en tant que jeton Bearer.

# Clés API

Créez des clés dans l’application sous Paramètres → Clés API. Il y a deux types :

Préfixe	Utilisation
`mr_live_…`	Production — compte contre le quota de votre forfait et la facturation.
`mr_test_…`	Test.

Les clés sont affichées une fois à la création — stockez-les quelque part de sûr. Seul un hachage SHA-256 est conservé côté serveur, donc une clé perdue ne peut pas être récupérée, seulement révoquée et remplacée.

# Envoi de la clé

Ajoutez un en-tête Authorization à chaque demande :

http

Authorization: Bearer mr_live_xxxxxxxxxxxxxxxxxxxxxxxx

bash

curl https://api.mostlyrender.com/v1/account \
  -H "Authorization: Bearer mr_live_…"

GET /v1/account est le moyen le plus simple de vérifier une clé — elle retourne le compte connecté, ou 401 si la clé est manquante, invalide, ou révoquée.

json

{ "plan": "pro", "email": "you@example.com", "display_name": "Ada Lovelace" }

# URL de base

text

https://api.mostlyrender.com

Jusqu’à ce que le domaine API personnalisé soit attaché, l’hôte live est https://mostly-render-api.web.app. Les SDK acceptent un remplacement base_url.

# Sécurisation des clés

N’expédiez jamais une clé dans le code côté client. Pour une utilisation dans le navigateur/<img>, générez plutôt une URL de rendu signée — elle n’a besoin d’aucune clé.
Faites une rotation en créant une nouvelle clé et en révoquant l’ancienne ; la révocation est immédiate.