Passer au contenu principal
Votre compte OneSignal comprend des IDs publics (App ID, Organization ID) et des clés API privées (App API key, Organization API key). Vous les trouvez dans le tableau de bord OneSignal sous Settings > Keys & IDs (niveau application) ou Organizations > Votre organisation > Keys & IDs (niveau organisation).

App ID

L’App ID est un UUID (v4) public qui identifie votre application OneSignal. Vous l’utilisez pour :
  • Initialiser le SDK (Configuration du SDK Mobile, Configuration du SDK Web)
  • Effectuer des requêtes API telles que Créer un message et Créer un utilisateur
Trouvez votre App ID dans le tableau de bord sous Settings > Keys & IDs ou via l’API Voir les applications.
Valeur de l'App ID mise en évidence sur la page de paramètres Keys & IDs
Votre App ID peut être utilisé en toute sécurité dans l’initialisation du SDK côté client. Ce n’est pas un secret.

Organization ID

L’Organization ID (Org ID) est un UUID (v4) qui regroupe toutes les applications sous votre plan de facturation. Vous en avez besoin pour les API au niveau de l’organisation, telles que : Trouvez-le dans Organizations > Votre organisation > Keys & IDs ou via l’API Voir une application.
Tableau de bord OneSignal montrant l'Organization ID sous Keys & IDs

Clés API

Il existe deux types de clés API. Toutes deux authentifient les requêtes à l’API REST et doivent être gardées secrètes. Choisissez celle qui correspond à ce que vous voulez faire :
CléUtilisation
Clé API d’applicationUne application spécifique : envoi de messages, création d’utilisateurs, lecture des statistiques.
Clé API d’organisationDans toute votre organisation : création d’applications et gestion d’autres clés API.
Vous pouvez créer jusqu’à 16 clés API d’application par application et 16 clés API d’organisation par organisation.

Clé API d’application

Utilisez une clé API d’application pour toute requête API REST limitée à une seule application : envoi de messages ; création ou mise à jour d’utilisateurs ; ou lecture de l’historique des messages. Le tableau de bord n’affiche jamais les valeurs des clés API existantes. La chaîne dans la colonne Key ID est seulement un identifiant interne, ce n’est pas la clé. Pour obtenir à nouveau un secret fonctionnel, suivez les étapes ci-dessous pour créer une nouvelle clé API, ou faites pivoter une clé existante. La rotation génère une nouvelle valeur tout en conservant le même Key ID, le même nom et la même liste d’autorisation IP, et l’ancienne valeur cesse de fonctionner immédiatement.
Tableau des clés API dans le tableau de bord OneSignal montrant la colonne Key ID, qui n'est pas la valeur de la clé API
Créer une clé API d’application Suivez ces étapes pour créer une clé API d’application dans le tableau de bord, ou utilisez l’API Create API key.
1

Allez dans Settings > Keys & IDs de l'application

Dans le tableau de bord OneSignal, sélectionnez votre application et accédez à Settings > Keys & IDs.
2

Cliquez sur Add Key

Saisissez un nom descriptif (par exemple, Backend service). Vous pouvez éventuellement ajouter une liste d’autorisation IP afin que la clé ne fonctionne qu’à partir de serveurs approuvés.
3

Cliquez sur Create, puis copiez immédiatement la valeur de la clé

La valeur commence par os_v2_app_ et n’est affichée qu’une seule fois. Stockez-la immédiatement dans un gestionnaire de secrets ou une variable d’environnement du backend.
Clé API générée affichée après la création
Traitez les clés API d’application comme des mots de passe :
  • Ne les exposez jamais dans le code client mobile ou web.
  • Ne les committez jamais dans des dépôts publics (comme GitHub).
  • Stockez-les dans un backend sécurisé ou un gestionnaire de secrets.

Clé API d’organisation

Utilisez une clé API d’organisation pour les opérations qui couvrent toutes les applications de votre organisation. Endpoints courants : Créer une clé API d’organisation : Les clés API d’organisation se créent uniquement dans le tableau de bord. Il n’y a pas d’endpoint API pour les créer.
1

Allez dans Keys & IDs de l'organisation

Dans le tableau de bord OneSignal, accédez à Organizations > Votre organisation > Keys & IDs.
2

Cliquez sur Add Key et nommez-la

Saisissez un nom descriptif (par exemple, App provisioning). Vous pouvez éventuellement ajouter une liste d’autorisation IP.
3

Cliquez sur Create, puis copiez immédiatement la valeur de la clé

La valeur commence par os_v2_app_ et n’est affichée qu’une seule fois. Stockez-la immédiatement en toute sécurité.
Section des clés API d'organisation dans le tableau de bord Keys & IDs
Les clés API d’organisation donnent accès à toutes les applications de votre organisation. Traitez-les avec un soin particulier et ne les partagez qu’avec des services qui ont véritablement besoin d’un accès à l’échelle de l’organisation.

Liste d’autorisation IP

La liste d’autorisation IP est facultative, mais fortement recommandée. Elle limite l’utilisation de la clé API à des adresses IP spécifiques, de sorte qu’une clé divulguée ne puisse pas être utilisée ailleurs.
  • Saisissez des blocs CIDR séparés par des espaces (exemple : 192.0.2.0/24 192.0.2.123/32).
  • Les requêtes provenant d’adresses IP non autorisées sont refusées.
Utilisez la liste d’autorisation IP pour :
  • Les services backend avec des IP statiques.
  • Les environnements de production haute sécurité.
Champ de configuration de la liste d'autorisation IP dans la fenêtre modale de création de clé API

Gérer les clés API

Après avoir créé une clé, vous pouvez la modifier, la faire pivoter ou la supprimer depuis la liste des clés dans Settings > Keys & IDs. Les clés API d’application prennent également en charge ces opérations via l’API REST. Les clés API d’organisation se gèrent uniquement dans le tableau de bord.

Modifier une clé

Mettez à jour le nom ou la liste d’autorisation IP sans changer la valeur secrète. Aucun changement d’intégration n’est requis. Utilisez le tableau de bord, ou l’API Update API key (clés API d’application uniquement).

Faire pivoter une clé

La rotation génère un nouveau secret tout en conservant le même Key ID, le même nom et la même liste d’autorisation IP. L’ancien secret cesse de fonctionner immédiatement. Faites pivoter une clé lorsque :
  • La clé a été exposée.
  • Un membre de l’équipe ayant accès quitte l’organisation.
  • Une rotation de sécurité de routine arrive à échéance.
  • Vous avez perdu la valeur d’origine de la clé et avez besoin d’un secret fonctionnel.
Après avoir fait pivoter une clé, mettez à jour tous les services qui utilisaient l’ancienne valeur. Les requêtes avec l’ancienne clé échouent immédiatement.
Utilisez le tableau de bord, ou l’API Rotate API key (clés API d’application uniquement).

Supprimer une clé

La suppression supprime définitivement la clé et bloque immédiatement l’accès à l’API utilisant cette clé. Utilisez la suppression lorsqu’une clé n’est plus nécessaire. Utilisez le tableau de bord, ou l’API Delete API key (clés API d’application uniquement).

Migration depuis les clés API héritées

OneSignal a introduit les clés API d’application et d’organisation (avec nommage, rotation et liste d’autorisation IP) en novembre 2024. La clé User Auth héritée et la clé REST API d’origine sont toujours acceptées, mais l’interface de gestion les concernant a été supprimée et de nouvelles clés ne peuvent plus être créées.
1

Créer une nouvelle clé

Créez une nouvelle clé API d’application ou clé API d’organisation selon la clé héritée que vous remplacez.
2

Mettre à jour votre code

Remplacez la clé héritée par la nouvelle valeur dans chaque service qui s’authentifie auprès de OneSignal.
3

Mettre à jour l'URL de base de l'API

Modifiez l’URL de base de votre API en passant de https://onesignal.com/api/v1/ à https://api.onesignal.com.
4

Vérifier, puis désactiver la clé héritée

Testez les requêtes API dans un environnement de staging, puis désactivez ou supprimez la clé héritée dans Settings > Keys & IDs.
Vérifiez les requêtes API en staging avant de désactiver votre clé héritée en production.

Bloquer l’accès à l’API

Pour révoquer immédiatement une clé, faites-la pivoter ou supprimez-la dans Settings > Keys & IDs. Les requêtes utilisant l’ancienne valeur échouent immédiatement. Pour arrêter l’envoi de messages ou suspendre une application entièrement, consultez Applications et organisations désactivées.

Bonnes pratiques de sécurité

  • Stockez les clés API dans un backend sécurisé (jamais côté client).
  • Utilisez des variables d’environnement ou un gestionnaire de secrets.
  • Activez la liste d’autorisation IP lorsque c’est possible.
  • Faites pivoter les clés périodiquement.
  • Utilisez des clés distinctes pour le staging et la production.

Questions fréquemment posées

Comment trouver ma clé API ?

Les valeurs des clés API commencent par os_v2_app_ et ne sont affichées qu’une seule fois, immédiatement après la création ou la rotation de la clé. La colonne Key ID dans le tableau de bord est un identifiant interne, pas la clé API, et renvoie 401 Unauthorized si elle est utilisée pour l’authentification. Si vous n’avez pas enregistré la valeur de votre clé, faites pivoter la clé pour en générer une nouvelle. Consultez Clé API d’application ou Clé API d’organisation pour le flux complet.

Puis-je récupérer une clé API d’application héritée ?

Non. OneSignal n’affiche plus les clés API d’application héritées. Si vous ne trouvez pas la valeur dans votre code, générez une nouvelle clé API d’application et mettez à jour vos intégrations.

Quelle est la différence entre un App ID, une clé API d’application et une clé API d’organisation ?

  • App ID : Un identifiant public pour votre application. Utilisé dans la configuration du SDK et dans les requêtes API pour spécifier l’application.
  • Clé API d’application : Un secret utilisé pour envoyer des messages et gérer les utilisateurs d’une seule application.
  • Clé API d’organisation : Un secret utilisé pour gérer les applications et les paramètres au niveau de l’organisation dans tout votre compte.

Que se passe-t-il si ma clé API est exposée ?

Faites pivoter la clé immédiatement. La rotation invalide l’ancienne valeur et en émet une nouvelle tout en conservant le même Key ID, le même nom et la même liste d’autorisation IP. Mettez ensuite à jour tous les services qui utilisent la clé. Consultez vos journaux d’audit pour détecter toute activité API inattendue.

Pages connexes

Vue d'ensemble de l'API REST

Authentifiez les requêtes et comprenez l’API REST OneSignal.

Limites de débit

Limites de débit par clé et bonnes pratiques pour les intégrations à fort volume.

Journaux d'audit

Examinez l’activité de l’API et du tableau de bord par clé, utilisateur et heure.

Applications et organisations désactivées

Suspendez ou fermez une application et comprenez les implications de facturation.