Authentification
Tout l'accès à l'API utilise OAuth2 client credentials.
- Endpoint de token :
https://sign.swisscom.ch/realms/swisscom-public/protocol/openid-connect/token - Scopes principaux :
sswp:process:create,sswp:process:read,sswp:process:read:all - Endpoint du contrat :
https://sign.swisscom.ch/system/api-docs
Exemple de requête de token :
curl --request POST \
--url https://sign.swisscom.ch/realms/swisscom-public/protocol/openid-connect/token \
--header 'content-type: application/x-www-form-urlencoded' \
--data 'grant_type=client_credentials&client_id=YOUR_CLIENT_ID&client_secret=YOUR_CLIENT_SECRET'
Utilisez le bearer token obtenu pour appeler les endpoints de processus.
Note de sécurité
L'API Explorer est conçu comme un outil de test rapide pour les intégrateurs. Si vous utilisez le flux d'authentification intégré dans le navigateur :
- vos
client_idetclient_secretsont saisis côté client - les extensions de navigateur, les scripts injectés ou l'état partagé du navigateur peuvent augmenter l'exposition
- cela reste acceptable pour des tests contrôlés, mais ce n'est pas le modèle d'intégration recommandé en production
Pour les intégrations en production, Swisscom Sign doit être appelé depuis votre propre backend afin que les identifiants client soient traités côté serveur.