Personal Access Token
Dernière mise à jour : 3 juillet 2026
Le PersonalAccessToken est un token de longue durée utilisé par un compte de plateforme Weegloo (Weegloo User) pour appeler CMA, Upload et CDA avec ses propres droits depuis un serveur, un système de CI ou un script. Contrairement au token de courte durée que le flux de connexion par navigateur émet à chaque fois, il reste valide une fois émis jusqu'à sa suppression.
Le PersonalAccessToken est rattaché au compte utilisateur, et non à un Space. C'est pourquoi le point de terminaison ne se trouve pas sous /spaces/{spaceId} mais au niveau racine, sur le chemin /personal-access-tokens, et la variable de chemin ne comporte pas de spaceId. L'appelant qui utilise ce token agit dans tous les Space auxquels l'utilisateur a adhéré, dans la limite des droits définis par le SpaceRole de chaque Space.
Structure de la ressource
Voici la réponse obtenue lors de la création d'un PersonalAccessToken. L'objet sys (propriétés système) contient la valeur du token et sa portée, tandis que le corps contient name.
{
"sys": {
"id": "5KmQ2pVnRb8sTfWcXd3LhJ9gAe",
"type": "PersonalAccessToken",
"createdBy": { "sys": { "id": "2bN7kRpQ9mWx4Lt6Vy0Cf3Hs8", "type": "Refer", "targetType": "User" } },
"createdAt": "2026-06-18T11:41:47.409Z",
"updatedBy": { "sys": { "id": "2bN7kRpQ9mWx4Lt6Vy0Cf3Hs8", "type": "Refer", "targetType": "User" } },
"updatedAt": "2026-06-18T11:41:47.409Z",
"accessToken": "PSNAT5SCq8Lm2vK9pXfR1Zt0Nc4Wd6Hg5Ua2Ee9Ck3PoYx8Bj6Hg5Ua2Ee9Ck3Po…",
"scopes": ["PERSONAL"]
},
"name": "Serveur de synchronisation des produits"
}Clés principales :
sys.id: identifiant unique du PersonalAccessToken. Il s'insère dans{personalAccessTokenId}des chemins de consultation unitaire et de suppression.sys.accessToken: valeur secrète du token utilisée pour les appels API. Comme la même valeur apparaît telle quelle non seulement dans la réponse de création mais aussi dans les réponses de consultation ultérieures, sa divulgation appelle la prudence (voir la section sécurité ci-dessous).sys.scopes: portée des droits du token. Un PersonalAccessToken vaut toujours["PERSONAL"]à l'émission.name: nom du token indiqué lors de la création (par exempleServeur de synchronisation des produits).
Dans l'exemple ci-dessus, accessToken étant une valeur secrète, elle a été remplacée par une chaîne d'exemple. En réalité, il s'agit d'une chaîne longue et opaque commençant par PSNAT, et la même valeur réapparaît lors d'une nouvelle consultation après l'émission.
Propriétés système (sys)
Chaque PersonalAccessToken place ses propriétés système communes et ses propriétés propres au token dans l'objet sys. createdBy et updatedBy se présentent sous la forme Refer ({ "sys": { "id", "type": "Refer", "targetType" } }). Cette ressource ne possède pas de space, car il s'agit d'un token de niveau utilisateur rattaché au compte de l'utilisateur et non à un Space.
| Propriété | Type | Description |
|---|---|---|
id | string | Identifiant unique de la ressource. |
type | string | Type de ressource. Pour un PersonalAccessToken, toujours "PersonalAccessToken". |
createdBy | Refer<User> | Utilisateur qui a créé la ressource. |
createdAt | string (date-time) | Date et heure de création. |
updatedBy | Refer<User> | Dernier utilisateur ayant modifié la ressource. |
updatedAt | string (date-time) | Date et heure de la dernière modification. |
accessToken | string | Valeur secrète du token utilisée pour les appels API. Comme elle apparaît telle quelle dans les réponses de création comme de consultation, elle doit être manipulée de façon à ne pas être exposée à l'extérieur. |
scopes | string array | Portée des droits du token. Pour un PersonalAccessToken, toujours ["PERSONAL"]. |
Propriétés du corps :
| Propriété | Type | Description |
|---|---|---|
name | string (1~64) | Nom du token. Indiqué lors de la création. |
Sécurité : ne pas l'exposer
Le PersonalAccessToken porte directement l'identité de l'utilisateur. Un appel effectué avec ce token peut atteindre CMA, Upload et CDA avec les droits du SpaceRole de toutes les adhésions à des Space dont dispose l'utilisateur. Sa portée étant large et sa durée de vie longue, une seule fuite expose la totalité des droits de cet utilisateur.
- Traitez-le comme un secret, de sorte qu'il ne soit exposé nulle part. Au moment où il fuit, l'ensemble des droits de l'utilisateur passe à l'extérieur. Le PersonalAccessToken est réservé aux environnements de confiance tels que serveur ou CI, et ne doit jamais être laissé en clair dans du code, des journaux, un stockage ou un message d'erreur.
- Ne l'intégrez pas dans du code de navigateur ou côté client. Une valeur transmise au navigateur peut être consultée telle quelle par l'utilisateur, ce qui la rend de fait publique. Les écrans d'administration qui s'exécutent dans le navigateur utilisent le token de courte durée obtenu via le flux de connexion au studio de contenu (limité à la session de l'écran).
- Pour la diffusion en lecture seule destinée aux visiteurs, utilisez un DeliveryAccessToken rattaché à un SpaceRole à privilèges minimaux (least-privilege). N'utilisez pas de PersonalAccessToken dans un client public.
accessTokenapparaît avec la même valeur non seulement au moment de la création mais aussi dans les réponses de consultation. Veillez à ne pas conserver tel quel le résultat d'une consultation dans des journaux, à l'écran ou dans un stockage externe.- Il n'existe pas d'API de modification (ni PUT ni PATCH). Pour remplacer un token, supprimez l'ancien et émettez-en un nouveau. En cas de suspicion de fuite, supprimez-le immédiatement pour l'invalider et remplacez-le par un nouveau token.
(Sources : skills weegloo-user-login et weegloo-delivery-access-token, .claude/rules/weegloo-api-endpoints.md.)
API
L'URL de base de tous les points de terminaison ci-dessous est https://cma.weegloo.com/v1, et l'en-tête Authorization doit contenir un Bearer token authentifiant auprès de CMA. Le PersonalAccessToken étant une ressource de niveau utilisateur, le chemin ne comporte pas de spaceId. De plus, en l'absence d'API de modification, il n'existe que quatre opérations : liste, création, consultation unitaire et suppression.
Documents associés
- Delivery Access Token : token de diffusion en lecture seule destiné aux visiteurs (pour le navigateur).
- SpaceRole : portée des droits dont dispose cet utilisateur dans chaque Space.
