Skip to content

Authentification

Jump to bottom
Guillaume Fay edited this page Apr 24, 2026 · 2 revisions

Authentification & jetons

Authorization: Bearer <jeton>

Trois familles de jetons coexistent, chacune avec un rôle distinct.

Jeton Schéma Swagger Détenu par Sert à…
Source token source-token Une source technique (adresse.data.gouv.fr, Contributeurs OSM, SDIS 41…) Créer un signalement ou une alerte au nom de cette source.
Client token client-token Un partenaire / traitant (commune, EPCI) Lire le détail d'un signalement (avec données auteur) et mettre à jour son statut.
Admin token admin-token L'équipe BAL Administration : créer des sources / clients, gérer les paramètres communes, etc.

Source token

Permet d'identifier la provenance des signalements publiés sur l'API. Les sources privées sont des organismes publics authentifiés (comme des SDIS), les sources publics sont accessibles à tous.

Endpoints concernés (entre autres) :

  • POST /signalements
  • POST /alerts

⚠️ Ce jeton n'est pas celui qui est remis aux partenaires qui consomment les signalements. Pour cela, voir le client-token ci-dessous.

Client token (le jeton « partenaire »)

C'est le jeton remis aux partenaires qui doivent traiter les signalements sur leur périmètre. Il donne accès à :

  • GET /signalements/{idSignalement} — récupération du détail d'un signalement, avec les informations de l'auteur (firstName, lastName, email).
  • PUT /signalements/{idSignalement}mise à jour du statut (PROCESSED, IGNORED…) et déclenchement de l'e-mail au déposant.
  • les équivalents sur les alertes (GET /alerts/{idAlert}, PUT /alerts/{idAlert}).

Pour obtenir un client token, voir Se connecter à l'API en tant que partenaire.

Bonnes pratiques

  • Ne jamais exposer le client token dans une application front-end / navigateur : il sert toujours côté back-end.
  • Ne jamais le commiter dans un dépôt Git. Préférez les variables d'environnement ou un coffre de secrets.
  • En cas de fuite suspectée, contactez immédiatement le support (adresse@data.gouv.fr) pour révocation.
  • Vous recevrez un jeton par environnement (test, prod). Ne mélangez pas.

Admin token

Réservé à l'équipe BAL. Permet notamment :

  • la création de sources (POST /sources) et de clients (POST /clients) ;
  • la gestion des paramètres par commune (POST /settings/commune-settings/{codeCommune}, DELETE …) ;
  • la gestion des enabled lists (PUT /settings/enabled-list/{listKey}).

Aucun usage côté partenaire : ces endpoints sont mentionnés uniquement à titre d'information.

Endpoints publics (sans authentification)

Plusieurs endpoints sont librement consommables sans jeton :

  • GET /signalements (liste paginée — sans données auteur)
  • GET /alerts
  • GET /reports
  • GET /sources, GET /sources/{idSource}, GET /sources/token/{token}
  • GET /settings/commune-status/{codeCommune}, GET /settings/commune-settings/{codeCommune}, GET /settings/commune-settings
  • GET /settings/enabled-list/{listKey}/{id}
  • GET /tiles/{z}/{x}/{y}.pbf
  • GET /stats

Ils servent typiquement à alimenter une carte ou un tableau de bord public.

Clone this wiki locally