Ce que vous pouvez faire
Chaque surface a son propre mode d'authentification adapté à son usage — quota, rate-limit et journal d'audit sur les trois.
Dashboard tenant (session NextAuth)
/api/automations/* — CRUD, toggle, seed, replay run et gestion des tokens inbound. Gardé par requireCapability(automations.{view, manage, run}).
API publique v1 (clé API)
/api/v1/automations + /api/v1/automations/[id]/fire. Auth X-API-Key + X-API-Secret, compte contre le quota mensuel du plan. Path utilisé par le serveur MCP.
Webhook inbound HMAC
/api/automations/trigger/[token] — POST public signé HMAC-SHA256 avec anti-replay 5 min. Génération + rotation du token et du secret depuis la fiche de l'automation.
Replay et observabilité
Endpoint replay qui libère la dedupeKey pour rejouer au prochain tick. Historique des runs avec statut, durée et timeline d'actions. KPI de succès par règle dans la liste.
Comment ça marche
De la création d'un endpoint inbound à son test depuis un terminal.
- 1
Générez un token (inbound)
Sur la fiche automation event-driven, clic « Générer un token ». L'URL et le secret HMAC sont affichés une seule fois — copiez-les immédiatement.
- 2
Signez vos requêtes
Envoyez X-CompanyBelgium-Timestamp (epoch ms, fenêtre 5 min) et X-CompanyBelgium-Signature: sha256=HMAC(secret, "[ts].[body]"). Body JSON quelconque devient le payload.
- 3
Surveillez et rejouez
L'historique d'exécution (filtrable par statut) liste les 50 plus récents runs. Un run échoué peut être rejoué d'un clic — le moteur recalcule au prochain tick.