Installez l’application Vivoldi sur Google Play pour que ce soit encore plus pratique.

API d’authentification utilisateur

Avant de récupérer des données utilisateur ou de modifier des paramètres via l’API REST Vivoldi, obtenez un token d’accès pour une authentification sécurisée.

L’authentification par token à durée limitée renforce la sécurité du compte et protège les requêtes API contre les menaces externes.

Ajoutez le token dans l’en-tête X-Access-Token pour effectuer des appels API sécurisés.

Cette API est disponible à partir de l’offre Personal.

POST

/api/user/v1/auth 

{
    "eml": "your@gmail.com"
}

Request Parameters

eml string
Adresse e-mail.
Utilisée pour consulter ou modifier les informations des utilisateurs ajoutés au sein d’une organisation disposant d’un forfait Business ou supérieur.
Ignorée dans les forfaits Personal et Premium. 
{
    "code": 0,
    "message": "",
    "result": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9..."
}

Response Parameters

code integer
Code de réponse : 0 = Succès, autres valeurs = Erreur
message string
Message de réponse. Si le code n’est pas 0, un message d’erreur est renvoyé.
result string
Lors de la consultation ou de la mise à jour des informations utilisateur, il doit être inclus dans l’en-tête HTTP sous X-Access-Token.
Le jeton est valable 1 minute et doit être réémis (en rappelant cette API) après expiration.

Pourquoi un token d’authentification est nécessaire

Toutes les requêtes API doivent être authentifiées afin de vérifier l’identité et les autorisations de l’utilisateur.

Cette API remplit les fonctions suivantes :

  • Identifier l’appelant de l’API
  • Valider les permissions de l’utilisateur
  • Bloquer les requêtes non autorisées
  • Gérer l’état de session sécurisé

Quand utiliser cette API

<p> Cette API doit être appelée avant d’accéder à tout endpoint lié au compte, comme <a href="/url/api/user/retrieve">Retrieve User</a> ou <a href="/url/api/user/update">Update User</a>. </p> <p> Le token émis doit être inclus dans le header HTTP sous la forme <code>X-Access-Token</code> pour toutes les requêtes suivantes. Sa durée de validité courte limite l’exposition des sessions et renforce la sécurité. </p>

Signification d’un token valide 1 minute

Une durée de validité de 1 minute reflète une conception axée sur la sécurité.
Même en cas de compromission, le token expire automatiquement en une minute, limitant les risques.

La bonne pratique consiste à générer le token juste avant l’appel API et à l’utiliser immédiatement.
Conserver un token pour une réutilisation peut entraîner des erreurs d’authentification.

Définition de la cible et conditions d’abonnement

À partir de l’offre Business, les administrateurs peuvent s’authentifier au nom d’un utilisateur en renseignant son email dans le paramètre eml.

Cela permet d’automatiser la gestion et la consultation des utilisateurs au sein de l’organisation.
Cette API est disponible uniquement pour les comptes avec une offre Personal ou supérieure, veuillez vérifier votre abonnement.

Points à considérer

  • Stockez les tokens de manière sécurisée et évitez toute exposition externe
  • Évitez d’utiliser les tokens côté client, cela représente un risque de sécurité
  • Mettez en place un mécanisme de renouvellement automatique à l’expiration
  • Utilisez l’API uniquement via HTTPS