API développeurs
À quoi ça sert
L’API Mastro (api.mastro.app/api/v1/...) permet d’intégrer le service à un système tiers : votre propre site de réservation, un CRM hôtelier, un outil de gestion d’agence de voyage. Cas d’usage typiques :
- Un hôtel intègre un widget « Réserver une voiture » directement sur sa page de réservation chambre.
- Une agence corporate déclenche automatiquement une course quand un client confirme un séjour.
- Un outil métier récupère vos courses récentes pour des calculs de commission ou de reporting.
Étape par étape — Générer une clé API
Profil → Développeurs → Clés API.
Touchez + Nouvelle clé. Donnez-lui un nom explicite (ex. : « Site web hôtel Le Magnan »).
Touchez Générer. La clé est affichée une seule fois, sous la forme
mk_live_<id>.<secret>. Copiez-la immédiatement et stockez-la en sécurité (gestionnaire de mots de passe ou variable d’environnement).Utilisez la clé dans l’en-tête HTTP
Authorization: Bearer <votre-clé>à chaque appel d’API.
Endpoints disponibles
| Endpoint | Méthode | Usage |
|---|---|---|
/api/v1/trips | POST | Créer une course pour un client |
/api/v1/trips/:id | GET | Récupérer le détail d’une course |
/api/v1/quotes | POST | Calculer un devis sans créer de course |
La référence complète (paramètres, exemples curl) est disponible sur api.mastro.app/docs.
Limites de débit
L’API applique une limite par minute selon votre plan :
| Plan | Requêtes/minute |
|---|---|
| BASIC | 60 |
| STARTER | 300 |
| PRO | 1 500 |
Au-delà, Mastro répond 429 Too Many Requests avec un en-tête Retry-After. Pour un volume soutenu plus élevé, contactez le support.
Cas particuliers
- Clé API perdue : elle ne peut pas être récupérée (Mastro ne la stocke pas en clair). Révoquez l’ancienne et générez-en une nouvelle. Mettez à jour votre intégration côté serveur.
- Clé compromise : révoquez immédiatement depuis la liste. Toute requête avec cette clé est rejetée à partir de la révocation.
- Erreurs
401 Unauthorized: vérifiez le préfixeBeareret le format completmk_live_<id>.<secret>. Les clés mal formées sont rejetées avant authentification.