Passer au contenu principal
Votre compte OneSignal inclut des IDs publics et des clés API privées.
  • Utilisez les IDs (comme l’App ID) pour configurer les SDK et référencer les applications.
  • Utilisez les clés API pour authentifier les requêtes sécurisées de l’API REST.
Ce guide explique le rôle de chaque clé, où la trouver et comment la gérer en toute sécurité.

App ID

L’App ID est un UUID public (v4) qui identifie votre application OneSignal. Vous l’utilisez pour :
  • Initialiser le SDK (Configuration du SDK Mobile, Configuration du SDK Web)
  • Effectuer des requêtes API telles que Créer un message et Créer un utilisateur
Trouvez votre App ID dans le tableau de bord sous Paramètres > Clés & IDs ou via l’API Voir les applications.
Page Clés & IDs du tableau de bord OneSignal montrant l'emplacement de l'App ID.

Votre App ID peut être utilisé en toute sécurité dans l’initialisation du SDK côté client. Ce n’est pas un secret.

ID d’organisation

L’ID d’organisation (Org ID) est un UUID (v4) qui regroupe toutes les applications sous votre plan de facturation. Vous en avez besoin pour les API au niveau de l’organisation, telles que : Trouvez-le dans Organizations > Votre organisation > Clés & IDs ou via l’API Voir une application.
Tableau de bord OneSignal montrant l'ID d'organisation sous Clés & IDs.

Aperçu des clés API

OneSignal prend en charge deux types de clés API :
Type de cléPortéeUtilisation
Clé API d’applicationApplication uniqueEnvoi de messages, création d’utilisateurs, opérations au niveau de l’application
Clé API d’organisationOrganisation entièreCréation d’applications, gestion des clés API, configuration au niveau de l’organisation
Vous pouvez créer jusqu’à 16 clés API et configurer une liste d’autorisation IP.
Les deux sont des secrets privés et doivent être stockés en toute sécurité.

Clé API d’application

Utilisez une clé API d’application pour la plupart des requêtes API REST liées à une application spécifique. Format d’authentification : Incluez la clé dans l’en-tête Authorization avec le schéma d’authentification key : 
Authorization: key YOUR_REST_API_KEY
Vous pouvez créer des clés API d’application dans Paramètres de l’application > Clés & IDs ou via l’API Créer une clé API.
Traitez les clés API d’application comme des mots de passe.
  • Ne les exposez jamais dans le code client mobile ou web.
  • Ne les committez jamais dans des dépôts publics (comme GitHub).
  • Stockez-les dans un backend sécurisé ou un gestionnaire de secrets.

Clé API d’organisation

Utilisez une clé API d’organisation pour : Créez-la dans le tableau de bord OneSignal sous Organizations > Votre organisation > Clés & IDs
Comme pour les clés API d’application, vous pouvez configurer jusqu’à 16 clés d’organisation et inclure une configuration de liste d’autorisation IP.

Créer des clés API

Vous pouvez créer des clés API d’application et d’organisation depuis le tableau de bord.
  • Les clés API d’application peuvent également être créées via l’API Créer une clé API.
  • Les clés API d’organisation ne peuvent être créées que via le tableau de bord.
Créer une clé :
  1. Accédez à Clés & IDs (au niveau de l’application ou de l’organisation).
  2. Cliquez sur Ajouter une clé.
Fenêtre modale de création d'une nouvelle clé API dans le tableau de bord OneSignal.
  1. Entrez un nom descriptif (exemple : Service de synchronisation CRM).
  2. (Optionnel) Configurez la liste d’autorisation IP.
  3. Cliquez sur Créer.
  4. Copiez et stockez la clé en toute sécurité immédiatement.
Les clés API ne sont affichées qu’une seule fois. Si vous perdez la clé, vous devez la faire pivoter.

Liste d’autorisation IP (optionnel mais recommandé)

Vous pouvez restreindre l’utilisation de la clé API à des adresses IP spécifiques.
  • Entrez des blocs CIDR séparés par des espaces
    • Exemple : 192.0.2.0/24 192.0.2.123/32
  • Les requêtes provenant d’adresses IP non autorisées seront refusées.
Utilisez la liste d’autorisation IP pour :
  • Les services backend avec des IP statiques
  • Les environnements de production haute sécurité
Champ de configuration de la liste d'autorisation IP dans la fenêtre modale de création de clé API.

Gestion des clés

Après avoir créé une clé, vous pouvez la gérer via l’interface de liste des clés :
Liste des clés API dans le tableau de bord OneSignal montrant les noms et IDs des clés.
L’ID de clé est une étiquette de référence. Ce n’est pas la clé API secrète.

Modifier les clés API

Vous pouvez :
  • Mettre à jour le nom de la clé
  • Modifier les paramètres de la liste d’autorisation IP
La modification ne change pas la valeur secrète. Aucun changement d’intégration n’est nécessaire.
  • Les clés API d’application peuvent être mises à jour via le tableau de bord ou l’API Mettre à jour une clé API.
  • Les clés API d’organisation ne peuvent être mises à jour que via le tableau de bord.

Faire pivoter les clés API

Faire pivoter une clé :
  • Génère un nouveau secret
  • Conserve le même nom et la même configuration
  • Invalide immédiatement l’ancien secret
Quand faire pivoter :
  • La clé a été exposée
  • Un membre de l’équipe ayant accès quitte l’organisation
  • Rotation de sécurité de routine
Après avoir fait pivoter une clé, mettez à jour tous les services qui l’utilisent. Les requêtes avec l’ancienne clé échoueront.
  • Les clés API d’application peuvent être pivotées via le tableau de bord ou l’API Faire pivoter une clé API.
  • Les clés API d’organisation ne peuvent être pivotées que via le tableau de bord.

Supprimer les clés API

Supprimer une clé :
  • La supprime définitivement
  • Bloque immédiatement l’accès API utilisant cette clé
Utilisez la suppression lorsqu’une clé n’est plus nécessaire.
  • Les clés API d’application peuvent être supprimées via le tableau de bord ou l’API Supprimer une clé API.
  • Les clés API d’organisation ne peuvent être supprimées que via le tableau de bord.

Migration depuis les clés API héritées

Nous avons introduit la gestion enrichie des clés API le 14 novembre 2024. Étapes de migration
  1. Créez une nouvelle clé API d’application ou d’organisation.
  2. Remplacez la clé héritée dans votre code.
  3. Mettez à jour l’URL de base de votre API vers :
https://api.onesignal.com
Au lieu de : 
https://onesignal.com/api/v1/
  1. Désactivez ou supprimez la clé héritée dans Clés & IDs.
Testez les requêtes API dans un environnement de staging avant de désactiver votre clé héritée en production.

Désactivation de votre application

Bloquer l’accès API :
  • Supprimez ou faites pivoter les clés API pour bloquer immédiatement l’utilisation de l’API REST.
Désactiver l’envoi de messages :
  • Accédez à Paramètres > Gérer l’application > Désactiver l’application.
Consultez Applications et organisations désactivées pour plus de détails.
Désactiver une application n’arrête pas la facturation. Les utilisateurs actifs mensuels (MAU) des applications désactivées sont toujours comptabilisés dans la facturation.Pour arrêter la facturation, supprimez l’application ou déplacez-la vers une organisation gratuite.Contactez support@onesignal.com pour obtenir de l’aide.

Bonnes pratiques de sécurité

  • Stockez les clés API dans un backend sécurisé (jamais côté client).
  • Utilisez des variables d’environnement ou un gestionnaire de secrets.
  • Activez la liste d’autorisation IP lorsque c’est possible.
  • Faites pivoter les clés périodiquement.
  • Utilisez des clés distinctes pour le staging et la production.