Clés API machine

1. Créez une clé dans la Plateforme développeur (live ou sandbox).
2. Envoyez X-Baara-Api-Key: baara_live_… (ou Bearer équivalent) sur les routes /api/v1/external/….
3. Limitez les scopes au strict nécessaire (transactions, clients, points, etc.).
4. Le secret complet n'est affiché qu'une fois à la création.

L'application web marchande utilise des cookies JWT sur /api/v1/* — ne mélangez pas les deux modèles sur la même intégration machine.