Aide client

Utiliser l'API

Comment les clients techniques approuvés utilisent l'API.

Public vise

Pour les intégrateurs approuvés et les opérateurs techniques.

L'API d'intégration est conçue pour les clients externes approuvés qui ont besoin d'un accès machine aux données et flux de travail du compte MZ Bank.
Le chemin de base public est /api/v1/integrations/*.
L'accès à l'API est distinct de la connexion Discord et de la session normale du portail client.

Les clés API sont liées à un profil client MZ Bank actif et vérifié.
Un administrateur MZ Bank crée la clé et choisit les étendues autorisées.
Les abonnements Webhook sont également créés par un administrateur et utilisent un secret de signature distinct.

Envoyez la clé API en tant que jeton de support dans l'en-tête Authorization.
Chaque clé a une portée limitée. Par exemple, accounts:read couvre les vues de compte, tandis que transfers:write permet la création de transferts.
Les clés peuvent être alternées ou révoquées sans modifier l'accès normal du client au site Web ou au robot.

Les clients peuvent lire les comptes visibles, les soldes, l'historique des transactions, les relevés, les bénéficiaires, les préférences de notification, les applications et les vues de la famille d'entreprise lorsque les étendues appropriées sont présentes.
Les réponses du compte tiennent compte des sous-comptes et incluent les identifiants de la famille racine, le cas échéant.
Les réponses des entreprises et des familles incluent les sous-comptes enfants, les bénéficiaires effectifs, les autorisations d'accès actif et les capacités d'appelant.

L'API prend en charge les demandes exploitables par le client telles que les transferts, la création de sous-comptes, les demandes de compte, la gestion des bénéficiaires, les mises à jour des préférences de notification, les demandes de retrait et les demandes de dépôt.
Les itinéraires de transfert d’argent doivent toujours respecter les mêmes règles d’autorisation, de limite de taux et de grand livre appliquées par le robot et le portail.
Les demandes d'écriture doivent utiliser des clés d'idempotence partout où l'itinéraire les nécessite afin que les nouvelles tentatives sécurisées ne créent pas d'activité en double.

Les itinéraires professionnels-familiaux utilisent les mêmes règles de propriété et d’accès délégué que le portail.
Les réponses tenant compte des sous-comptes incluent à la fois l’ID du compte feuille et l’ID du compte racine de la famille d’entreprise.
Les opérateurs délégués ne peuvent utiliser que les comptes et les actions autorisés par leur rôle et leurs plafonds actuels.

Les abonnements Webhook peuvent recevoir des événements du cycle de vie de dépôt, de retrait et de transfert.
Les webhooks de transfert sont émis séparément pour les comptes sortants et entrants afin que les consommateurs de sous-compte et de famille puissent traiter chaque côté correctement.
Chaque webhook est signé avec x-mzb-signature-256, et les consommateurs doivent vérifier la signature par rapport au corps brut exact.

Les itinéraires de liste de relevés et d'exportation de relevés fournissent le même historique de relevés publié auquel le client peut accéder via le Centre de relevés.
Les itinéraires de notification exposent à la fois les préférences enregistrées et les résultats de livraison récents.
L'activité de l'API doit être rapprochée de l'état du portail, des déclarations et des événements de webhook pour le même client ou la même famille d'entreprises.

Demandez à un administrateur MZ Bank d'émettre une clé de test étendue avec uniquement les fonctionnalités de lecture et d'écriture dont votre client a réellement besoin.
Validez la gestion des webhooks par rapport à un point de terminaison de capture jetable avant d'envoyer des événements à une URL de rappel de production.
Si vous avez besoin d'une référence exhaustive de l'opérateur pour les points de terminaison, les étendues et le dépannage, demandez à un administrateur la documentation sur les intégrations internes.