Documentation API

URL de base

https://sharepwd.io/v1

Authentification

Tous les endpoints sont publics et ne nécessitent pas d’authentification. Limité à 30 requêtes/minute par IP.

Endpoints

POST/v1/secrets

Créer un nouveau secret chiffré.

Corps de la requête

{
  "encrypted_data": "base64_ciphertext",
  "iv": "base64_iv",
  "salt": "base64_salt_or_null",
  "max_views": 3,
  "expires_in": "24h",
  "burn_after_read": false,
  "content_type": "text"
}

Réponse (201)

{
  "access_token": "abc123...",
  "creator_token": "def456...",
  "expires_at": "2025-01-01T00:00:00Z"
}

GET/v1/secrets/:token

Obtenir les métadonnées du secret (sans contenu déchiffré). Retourne un nonce de challenge pour la révélation.

POST/v1/secrets/:token/reveal

Révéler le secret chiffré. Consomme une vue. Nécessite un nonce de challenge valide.

Corps de la requête

{
  "challenge_nonce": "nonce_from_metadata"
}

DELETE/v1/secrets/:token

Supprimer un secret. Nécessite le token créateur.

Corps de la requête

{
  "creator_token": "your_creator_token"
}

GET/v1/health

Endpoint de vérification de santé.

Limites de débit

Tous les endpoints sont limités à 30 requêtes par minute par adresse IP.

Lorsque la limite est dépassée, l’API retourne 429 Too Many Requests.

Chiffrement

SharePwd utilise le chiffrement zero-knowledge. Le serveur ne voit jamais vos données en clair.

Algorithme : AES-256-GCM (clé 256 bits, IV 96 bits, tag d’authentification 128 bits)
Dérivation de clé (phrase secrète) : PBKDF2 avec SHA-256, 600 000 itérations
Sans phrase secrète : clé aléatoire intégrée dans le fragment URL (#)
Le fragment URL n’est jamais envoyé au serveur (selon la spécification HTTP)