Identifiants de l’App
| Identifiant | Cas d’usage |
|---|---|
| API Key & Secret | Authentification avec OAuth 1.0a. Utilisés pour signer les requêtes ou générer des jetons utilisateur. |
| Access Token & Secret | Effectuer des requêtes au nom de votre propre compte (OAuth 1.0a). |
| Client ID & Secret | Authentification avec OAuth 2.0. Utilisés pour le flux de code d’autorisation. |
| Bearer Token | Authentification pour l’App uniquement sur les endpoints de données publiques. |
Créer une app
Ouvrir la Console de développement
Accédez à console.x.com et connectez-vous.
Cliquer sur « Create App »
Saisissez un nom, une description et un cas d’utilisation pour votre app.
Générer les identifiants
Une fois l’app créée, générez les clés et les jetons dont vous avez besoin.
Autorisations d’App (OAuth 1.0a)
- Lecture seule
- Lecture et écriture
- Lecture, écriture et MP
- Afficher les publications, les comptes et les données publiques
- Ne peut pas publier, aimer ni modifier quoi que ce soit
- Ne peut pas accéder aux Messages privés
La modification des autorisations oblige les utilisateurs à réautoriser votre App afin d’obtenir de nouveaux jetons avec le périmètre mis à jour.
Types d’App OAuth 2.0
| Type | Client | Cas d’utilisation |
|---|---|---|
| Application web | Confidential | Applications côté serveur qui peuvent stocker des secrets en toute sécurité |
| Application automatisée / bot | Confidential | Bots et services automatisés exécutés sur des serveurs |
| Application native | Public | Applications mobiles ou de bureau qui ne peuvent pas sécuriser les secrets |
| Application monopage | Public | Applications JavaScript basées sur le navigateur |
URL de rappel
Conditions requises
- Ajoutez les URL de rappel à la liste d’autorisation de votre App dans la Console de développement
- Les URL doivent correspondre exactement (y compris la barre oblique finale)
- Jusqu’à 10 URL de rappel par App
- Utilisez
https://en production - Pour le développement local, utilisez
http://127.0.0.1(et nonlocalhost)
Protocoles non autorisés
javascript, data, file, ftp, mailto, telnet, ainsi que d’autres schémas non standard.
Liste complète des protocoles non autorisés
Liste complète des protocoles non autorisés
vbscript, javascript, vbs, data, mocha, keyword, livescript, ftp, file, gopher, acrobat, callto, daap, itpc, itms, firefoxurl, hcp, ldap, mailto, mmst, mmsu, msbd, rtsp, mso-offdap, snews, news, nntp, outlook, stssync, rlogin, telnet, tn3270, shell, sipBonnes pratiques
Utilisez des apps distinctes
Créez différentes apps pour le développement, la préproduction et la production.
Renouvelez régulièrement les identifiants
Régénérez régulièrement les clés, notamment si vous soupçonnez une compromission.
Autorisations minimales
Demandez uniquement les autorisations dont votre app a réellement besoin.
Surveillez l’utilisation
Vérifiez régulièrement la Console de développement pour suivre l’utilisation de l’API.
Libellés de comptes automatisés
- Accédez aux Paramètres du compte de votre bot
- Sélectionnez Votre compte → Automatisation
- Associez le compte qui le gère
Dépannage
Erreur d’URL de rappel non approuvée
Erreur d’URL de rappel non approuvée
Assurez-vous que votre URL de rappel corresponde exactement à celle enregistrée dans la Console de développement, y compris le protocole et tout éventuel slash final. Encodez l’URL en HTTP lorsque vous la transmettez comme paramètre de requête.
App suspendue
App suspendue
Si votre App s’affiche comme suspendue, vérifiez vos e-mails pour voir si vous avez reçu une notification de l’équipe de la plateforme X. Utilisez le Platform Help Form pour faire appel.