- L’App ID et l’Organization ID sont des identifiants publics, sûrs à utiliser dans le code côté client et l’initialisation du SDK.
- La clé API d’application et la clé API d’organisation sont des secrets privés. Stockez-les en toute sécurité et ne les exposez jamais dans le code côté client.
App ID
L’App ID est un UUID (v4) public qui identifie votre application OneSignal. Vous l’utilisez pour :- Initialiser le SDK (Configuration du SDK Mobile, Configuration du SDK Web)
- Effectuer des requêtes API telles que Créer un message et Créer un utilisateur

Votre App ID peut être utilisé en toute sécurité dans l’initialisation du SDK côté client. Ce n’est pas un secret.
Organization ID
L’Organization ID (Org ID) est un UUID (v4) qui regroupe toutes les applications sous votre plan de facturation. Vous en avez besoin pour les API au niveau de l’organisation, telles que : Trouvez-le dans Organizations > Votre organisation > Keys & IDs ou via l’API Voir une application.
Clés API
Il existe deux types de clés API. Toutes deux authentifient les requêtes à l’API REST et doivent être gardées secrètes. Choisissez celle qui correspond à ce que vous voulez faire :| Clé | Utilisation |
|---|---|
| Clé API d’application | Une application spécifique : envoi de messages, création d’utilisateurs, lecture des statistiques. |
| Clé API d’organisation | Dans toute votre organisation : création d’applications et gestion d’autres clés API. |
Vous pouvez créer jusqu’à 16 clés API d’application par application et 16 clés API d’organisation par organisation.
Clé API d’application
Utilisez une clé API d’application pour toute requête API REST limitée à une seule application : envoi de messages ; création ou mise à jour d’utilisateurs ; ou lecture de l’historique des messages. Le tableau de bord n’affiche jamais les valeurs des clés API existantes. La chaîne dans la colonne Key ID est seulement un identifiant interne, ce n’est pas la clé. Pour obtenir à nouveau un secret fonctionnel, suivez les étapes ci-dessous pour créer une nouvelle clé API, ou faites pivoter une clé existante. La rotation génère une nouvelle valeur tout en conservant le même Key ID, le même nom et la même liste d’autorisation IP, et l’ancienne valeur cesse de fonctionner immédiatement.
Allez dans Settings > Keys & IDs de l'application
Dans le tableau de bord OneSignal, sélectionnez votre application et accédez à Settings > Keys & IDs.
Cliquez sur Add Key
Saisissez un nom descriptif (par exemple,
Backend service). Vous pouvez éventuellement ajouter une liste d’autorisation IP afin que la clé ne fonctionne qu’à partir de serveurs approuvés.Clé API d’organisation
Utilisez une clé API d’organisation pour les opérations qui couvrent toutes les applications de votre organisation. Endpoints courants :- Gestion des applications : Créer une application, Voir les applications
- Gestion des clés API : Créer une clé API, Supprimer une clé API, Faire pivoter une clé API
Allez dans Keys & IDs de l'organisation
Dans le tableau de bord OneSignal, accédez à Organizations > Votre organisation > Keys & IDs.
Cliquez sur Add Key et nommez-la
Saisissez un nom descriptif (par exemple,
App provisioning). Vous pouvez éventuellement ajouter une liste d’autorisation IP.
Liste d’autorisation IP
La liste d’autorisation IP est facultative, mais fortement recommandée. Elle limite l’utilisation de la clé API à des adresses IP spécifiques, de sorte qu’une clé divulguée ne puisse pas être utilisée ailleurs.- Saisissez des blocs CIDR séparés par des espaces (exemple :
192.0.2.0/24 192.0.2.123/32). - Les requêtes provenant d’adresses IP non autorisées sont refusées.
- Les services backend avec des IP statiques.
- Les environnements de production haute sécurité.

Gérer les clés API
Après avoir créé une clé, vous pouvez la modifier, la faire pivoter ou la supprimer depuis la liste des clés dans Settings > Keys & IDs. Les clés API d’application prennent également en charge ces opérations via l’API REST. Les clés API d’organisation se gèrent uniquement dans le tableau de bord.Modifier une clé
Mettez à jour le nom ou la liste d’autorisation IP sans changer la valeur secrète. Aucun changement d’intégration n’est requis. Utilisez le tableau de bord, ou l’API Update API key (clés API d’application uniquement).Faire pivoter une clé
La rotation génère un nouveau secret tout en conservant le même Key ID, le même nom et la même liste d’autorisation IP. L’ancien secret cesse de fonctionner immédiatement. Faites pivoter une clé lorsque :- La clé a été exposée.
- Un membre de l’équipe ayant accès quitte l’organisation.
- Une rotation de sécurité de routine arrive à échéance.
- Vous avez perdu la valeur d’origine de la clé et avez besoin d’un secret fonctionnel.
Supprimer une clé
La suppression supprime définitivement la clé et bloque immédiatement l’accès à l’API utilisant cette clé. Utilisez la suppression lorsqu’une clé n’est plus nécessaire. Utilisez le tableau de bord, ou l’API Delete API key (clés API d’application uniquement).Migration depuis les clés API héritées
OneSignal a introduit les clés API d’application et d’organisation (avec nommage, rotation et liste d’autorisation IP) en novembre 2024. La clé User Auth héritée et la clé REST API d’origine sont toujours acceptées, mais l’interface de gestion les concernant a été supprimée et de nouvelles clés ne peuvent plus être créées.Créer une nouvelle clé
Créez une nouvelle clé API d’application ou clé API d’organisation selon la clé héritée que vous remplacez.
Mettre à jour votre code
Remplacez la clé héritée par la nouvelle valeur dans chaque service qui s’authentifie auprès de OneSignal.
Mettre à jour l'URL de base de l'API
Modifiez l’URL de base de votre API en passant de
https://onesignal.com/api/v1/ à https://api.onesignal.com.Vérifiez les requêtes API en staging avant de désactiver votre clé héritée en production.
Bloquer l’accès à l’API
Pour révoquer immédiatement une clé, faites-la pivoter ou supprimez-la dans Settings > Keys & IDs. Les requêtes utilisant l’ancienne valeur échouent immédiatement. Pour arrêter l’envoi de messages ou suspendre une application entièrement, consultez Applications et organisations désactivées.Bonnes pratiques de sécurité
- Stockez les clés API dans un backend sécurisé (jamais côté client).
- Utilisez des variables d’environnement ou un gestionnaire de secrets.
- Activez la liste d’autorisation IP lorsque c’est possible.
- Faites pivoter les clés périodiquement.
- Utilisez des clés distinctes pour le staging et la production.
Questions fréquemment posées
Comment trouver ma clé API ?
Les valeurs des clés API commencent paros_v2_app_ et ne sont affichées qu’une seule fois, immédiatement après la création ou la rotation de la clé. La colonne Key ID dans le tableau de bord est un identifiant interne, pas la clé API, et renvoie 401 Unauthorized si elle est utilisée pour l’authentification. Si vous n’avez pas enregistré la valeur de votre clé, faites pivoter la clé pour en générer une nouvelle. Consultez Clé API d’application ou Clé API d’organisation pour le flux complet.
Puis-je récupérer une clé API d’application héritée ?
Non. OneSignal n’affiche plus les clés API d’application héritées. Si vous ne trouvez pas la valeur dans votre code, générez une nouvelle clé API d’application et mettez à jour vos intégrations.Quelle est la différence entre un App ID, une clé API d’application et une clé API d’organisation ?
- App ID : Un identifiant public pour votre application. Utilisé dans la configuration du SDK et dans les requêtes API pour spécifier l’application.
- Clé API d’application : Un secret utilisé pour envoyer des messages et gérer les utilisateurs d’une seule application.
- Clé API d’organisation : Un secret utilisé pour gérer les applications et les paramètres au niveau de l’organisation dans tout votre compte.
Que se passe-t-il si ma clé API est exposée ?
Faites pivoter la clé immédiatement. La rotation invalide l’ancienne valeur et en émet une nouvelle tout en conservant le même Key ID, le même nom et la même liste d’autorisation IP. Mettez ensuite à jour tous les services qui utilisent la clé. Consultez vos journaux d’audit pour détecter toute activité API inattendue.Pages connexes
Vue d'ensemble de l'API REST
Authentifiez les requêtes et comprenez l’API REST OneSignal.
Limites de débit
Limites de débit par clé et bonnes pratiques pour les intégrations à fort volume.
Journaux d'audit
Examinez l’activité de l’API et du tableau de bord par clé, utilisateur et heure.
Applications et organisations désactivées
Suspendez ou fermez une application et comprenez les implications de facturation.
