Aller au contenu principal

Authentification

Tout l'accès à l'API utilise OAuth2 client credentials.

  • Endpoint de token : https://test.sign.swisscom.ch/realms/swisscom-public/protocol/openid-connect/token
  • Scopes principaux : sswp:process:create, sswp:process:read, sswp:process:read:all
  • Endpoint du contrat : https://test.sign.swisscom.ch/system/api-docs

Exemple de requête de token :

curl --request POST \
--url https://test.sign.swisscom.ch/realms/swisscom-public/protocol/openid-connect/token \
--header 'content-type: application/x-www-form-urlencoded' \
--data 'grant_type=client_credentials&client_id=YOUR_CLIENT_ID&client_secret=YOUR_CLIENT_SECRET'

Utilisez le bearer token obtenu pour appeler les endpoints de processus.

Note de sécurité

L'API Explorer est conçu comme un outil de test rapide pour les intégrateurs. Si vous utilisez le flux d'authentification intégré dans le navigateur :

  • vos client_id et client_secret sont saisis côté client
  • les extensions de navigateur, les scripts injectés ou l'état partagé du navigateur peuvent augmenter l'exposition
  • cela reste acceptable pour des tests contrôlés, mais ce n'est pas le modèle d'intégration recommandé en production

Pour les intégrations en production, Swisscom Sign doit être appelé depuis votre propre backend afin que les identifiants client soient traités côté serveur.