Authentification API
L’accès à l’API institutionnelle AfriSwitch nécessite deux en-têtes obligatoires : x-api-key et api-secret. Ces clés sont propres à chaque entreprise et permettent d’authentifier les requêtes.
Headers obligatoires
x-api-key: AFS-PROD-PUB-XXXXXXXXXXXX
api-secret: AFS-PROD-SEC-XXXXXXXXXXXXXXXXXXXX
Content-Type: application/json
Important : Ces clés ne doivent jamais être exposées côté frontend ou dans du code public.
Exemple Postman
Dans l’onglet Headers :
{
"x-api-key": "AFS-PROD-PUB-XXXXXXXXXXXX",
"api-secret": "AFS-PROD-SEC-XXXXXXXXXXXXXXXXXXXX",
"Content-Type": "application/json"
}
Exemple cURL
curl -X POST "https://api.afriswitch.net/api/v1/transactions/payin/" \
-H "x-api-key: AFS-PROD-PUB-XXXXXXXXXXXX" \
-H "api-secret: AFS-PROD-SEC-XXXXXXXXXXXXXXXXXXXX" \
-H "Content-Type: application/json" \
-d '{
"amount": 1000,
"currency": "GNF",
"operator": "mtn",
"country": "GN",
"phone_number": "224XXXXXX448",
"opaque_id": "test_payin_001"
}'
Notes de sécurité
- Les clés API doivent être stockées dans un coffre sécurisé (Vault, AWS Secrets Manager, Azure Key Vault).
- Ne jamais les inclure dans du code source public.
- Ne jamais les envoyer par email ou messagerie non sécurisée.
- En cas de compromission, contacter immédiatement AfriSwitch pour régénération.
Signature HMAC
La signature HMAC est appliquée automatiquement par le portail AfriSwitch. Le partenaire n’a rien à signer manuellement. Il doit uniquement fournir x-api-key et api-secret.