Authentification
L'API publique de Mooteck s'authentifie avec une clé d'intégration, rattachée à un garage. Chaque connecteur (boutique, outil) possède sa propre clé et ses propres autorisations de synchronisation.
Obtenir une clé
Dans Mooteck, ouvrez Web → Connecter un site. À la création de l'intégration, une clé d'API est générée automatiquement (32 caractères hexadécimaux). Le secret de webhook associé n'est affiché qu'une seule fois — copiez-le immédiatement.
Envoyer la clé
Transmettez la clé dans l'en-tête x-api-key de chaque requête :
curl https://app.mooteck.com/api/public/products \
-H "x-api-key: <VOTRE_CLE_API>"Paramètre de requête déconseillé
La clé est aussi acceptée en query string (?apiKey=…) pour faciliter certaines intégrations. Évitez-le : les URLs se retrouvent dans les journaux serveurs et proxys. Préférez toujours l'en-tête x-api-key.Autorisations de synchronisation
Une clé n'ouvre que les endpoints activés pour l'intégration. Activez les bascules correspondantes dans Mooteck :
| Bascule | Débloque |
|---|---|
| syncAppointments | POST /api/public/appointments |
| syncCatalog | GET /api/public/products |
| syncStock | GET /api/public/stock |
Les endpoints vitrine véhicules (/api/public/fleet) acceptent la clé d'API ou le ?garageSlug= public du garage, sans bascule dédiée.
Sécurité
Une requête sans clé valide (ou avec une bascule désactivée) reçoit401. La clé d'API est un identifiant sensible : gardez-la côté serveur, ne l'exposez jamais dans du code client, et révoquez/recréez l'intégration en cas de fuite. Les secrets de webhook, eux, sont chiffrés au repos (AES-256-GCM) côté Mooteck.