L’API IzichangePay accepte deux schémas d’authentification : vous utilisez celui qui convient à votre cas.
Clé API (Bearer)
Pour les intégrations server-to-server. Envoyez la clé dans le header :
GET /v1/payment-intents
Authorization: Bearer sk_live_abc123...
GET /v1/payment-intents
X-Api-Key: sk_live_abc123...
sk_live_ ou sk_test_ suivi de 64 caractères hexadécimaux (72 caractères au total). Toute autre forme → 401 Invalid API key.
Le scope manquant renvoie 403 avec le code INSUFFICIENT_SCOPE. Une clé révoquée ou expirée renvoie 401 Invalid API key. Une IP hors liste d’autorisation (cf. IP allowlist) renvoie 403. Un compte gelé renvoie 403 ACCOUNT_FROZEN.
JWT dashboard
Le dashboard web utilise des JWT pour les sessions humaines. Vous n’en avez pas besoin pour intégrer l’API : toutes les intégrations server-to-server passent par la clé API. Le JWT est réservé à notre interface web.
Par API vs dashboard-only
Toutes les opérations marchandes ne sont pas exposées à la clé API : la création des credentials et les réglages sensibles restent exclusivement au dashboard (par design). Une tentative via clé API renvoie 403 DASHBOARD_ONLY.
Par API (clé sk_*)
| Ressource | Accès via clé API |
|---|
payment_intents | lecture et écriture |
payouts | lecture et écriture |
settlements | lecture et écriture |
invoices | lecture et écriture |
products | lecture et écriture |
disputes | lecture et écriture |
payins | lecture seule |
balance | lecture seule |
merchants | lecture seule |
whitelist | lecture seule (écriture = dashboard-only) |
webhooks | lecture seule (écriture = dashboard-only) |
Uniquement dans le dashboard (jamais par clé API)
- Créer / faire tourner / révoquer une clé API
- Écrire la whitelist d’adresses (anti-vol : une clé compromise ne peut pas s’auto-whitelister une adresse pirate)
- Créer ou modifier un endpoint webhook
- Gérer l’équipe
- Configurer les automatisations
- Soumettre la vérification KYB et les documents d’identité
- Gérer les terminaux POS
- Modifier les réglages du compte (frais, mode litige, gel)
- Gérer les comptes de reversement
Il n’existe aucun scope automation, team, api-keys, kyb ou pos côté clé API. Ces opérations ne sont pas documentées dans la référence API : utilisez le dashboard.
Ne mettez jamais une clé sk_live_* dans du code client (browser, mobile app). Les clés sont des credentials de serveur. Pour un widget de paiement public, l’intent est créé côté backend puis l’intentId (public, jetable) est passé au front.
Rate limiting
Les clés API sont limitées à 600 requêtes par minute par clé API, et 300 requêtes par minute par IP (sans clé). Voir Rate limits. 
