Passer au contenu principal

Authentification

Livepeer API utilise des clés API pour vérifier et autoriser les requêtes. Vous pouvez gérer et examiner vos clés API via Livepeer Studio. Vous devez transmettre votre clé API dans le “Authorization en-tête avec un “Bearer préfixe lors de l’envoi d’une requête. 
Authorization: Bearer YOUR_API_KEY
Il est important de noter que vos clés API accordent des privilèges importants, il est donc essentiel de les garder en sécurité ! Abstenez‑vous de partager vos clés API secrètes sur GitHub ou d’autres lieux accessibles publiquement. Par défaut, les clés API ne peuvent être utilisées que depuis un serveur backend. Cela garantit une sécurité maximale et évite que vous exposiez accidentellement votre compte en incluant la clé API secrète sur une page web publique.

Clés CORS activées

Please read the below documentation in its entirety before using CORS-enabled API keys. There is a different security model for CORS keys.
Studio prend en charge la création de clés API activées CORS. Il s’agit d’une option spéciale lors de la génération d’une clé API qui permet à une page web d’effectuer des requêtes directement vers Studio, plutôt que depuis votre backend.

Sécurité avec les clés CORS

Le modèle de sécurité est différent pour les clés API activées CORS. Puisqu’un utilisateur peut accéder à ces clés, les ID des actifs et des flux doivent être gardés secrets pour toute personne qui ne devrait pas avoir le contrôle administrateur sur ceux‑ci. Par exemple, un spectateur ne doit avoir accès qu’à l’ID de lecture, car connaître l’ID de l’actif (avec la clé API activée CORS, intégrée dans la page web) lui permet de modifier l’actif. Il en va de même pour les flux – si un utilisateur a accès à un ID de flux avec la clé API CORS, il peut modifier le flux ou voir la clé du flux. Si un spectateur disposait de l’ID du flux + la clé API CORS, il pourrait détourner le flux. Un “playbackId ne doit être exposé au spectateur que.

Bonnes pratiques

  1. Utilisez les clés API backend par défaut - N’utilisez les clés activées CORS que lorsque c’est absolument nécessaire
  2. Ne jamais valider les clés API - Utilisez des variables d’environnement ou une gestion sécurisée des secrets
  3. Faire pivoter les clés régulièrement - Surtout si vous suspectez qu’une clé a été compromise
  4. Utilisez des clés séparées - Clés différentes pour les environnements de développement et de production
Last modified on March 1, 2026