Appearance
Démarrer
Ce guide donne le strict nécessaire pour faire votre premier appel contre l'API GraphQL Biznessmatch : où taper, dans quel environnement, et les deux pièges qui bloquent systématiquement une première intégration (CORS, introspection).
Un point d'entrée unique
Toute l'API est exposée sur un seul endpoint GraphQL, en POST :
POST /graphqlIl n'existe pas d'API REST métier à côté : lecture, écriture, upload de fichiers (multipart via graphql-upload) transitent tous par cet unique endpoint. Si vous cherchez des routes GET /api/..., elles n'existent pas — tout passe par des queries/mutations GraphQL.
Environnements
| Environnement | URL | Usage |
|---|---|---|
| Développement | http://localhost:3000 | Local, port par défaut du service |
| Staging | https://api.staging.matchbiz.fr | Intégration / recette |
| Production | https://api.biznessmatch.com | Production |
Le path reste /graphql dans les trois environnements, seule l'origine change.
CORS : votre origine doit être autorisée côté serveur
Le backend n'accepte des appels navigateur (fetch/XHR/Apollo Client depuis une page web) que depuis une liste d'origines explicitement autorisée côté serveur. Cette allowlist est fermée par défaut : une origine tierce qui n'y figure pas se voit bloquée par le navigateur (erreur CORS), même si la requête elle-même est valide.
Concrètement :
credentials: true— les cookies (session) sont transmis, ce qui interdit une allowlist en*.- Méthodes autorisées :
GET,POST,OPTIONS. - En-têtes autorisés : notamment
Authorization,Content-Type,apollo-require-preflight,x-apollo-operation-name,x-active-club-id.
Si vous intégrez depuis un navigateur (SPA, extension, iframe), votre origine doit être ajoutée à cette allowlist par notre équipe avant tout appel. Contactez-nous avec l'origine exacte (schéma + domaine + port) à autoriser. Un appel serveur-à-serveur (backend tiers → notre API, sans navigateur) n'est pas soumis à CORS et n'a pas besoin de cette étape.
Playground désactivé, introspection coupée hors développement
Deux choses à savoir avant de chercher à explorer le schéma en ligne :
- Le GraphQL Playground est désactivé dans tous les environnements.
- L'introspection GraphQL n'est active qu'en environnement de développement ; en staging et en production elle est désactivée. Une requête d'introspection (
__schema, outils comme GraphiQL/Insomnia en mode "fetch schema") y échouera.
Conséquence pratique : vous ne pouvez pas découvrir le schéma en interrogeant directement l'API de staging ou de production. Le schéma doit vous être communiqué par un autre canal (documentation, export SDL fourni par notre équipe). Gardez une copie du schéma à jour de votre côté plutôt que de compter sur l'introspection en production.
Et ensuite ?
Une fois l'origine autorisée (si besoin) et le schéma en main :
- Authentification — comment obtenir et renouveler un token pour appeler l'API.
- Conventions API — pagination, erreurs, nommage des opérations, ce qui est commun à toutes les queries/mutations.
- Domaines métier — Events & Pricing, Roundtables, Missions/Prestations : le détail des opérations disponibles par domaine.
Ces pages sont accessibles depuis le menu de navigation.