La même API REST que celle utilisée par le client web. Chaque élément est chiffré dans votre navigateur avant de quitter l'appareil — le serveur ne voit que du texte chiffré et n'a aucun moyen de le lire. Utilisez-la pour construire vos propres clients ou pour donner à une intégration un accès limité et confirmable à quelques éléments. URL de base : https://storage-p.com
/openapi.yaml Des tutoriels de bout en bout de ce que fait réellement storage-p — fondés sur les fonctionnalités réelles, sans rien inventer.
Exécutez storage-p en conteneur Docker derrière Caddy, sur votre domaine. Caddy sert le client statique et fait du reverse-proxy de /api vers le backend ; la base de données SQLite est chiffrée au repos avec SQLCipher. Vous le gérez de bout en bout — personne d'autre ne détient les clés.
Générez des clés SSH Ed25519 (format OpenSSH) et des certificats TLS auto-signés dans l'onglet Générateurs, ou importez vos fichiers de clés/certificats existants (jusqu'à 1 Mo). Le matériel privé est chiffré dans le navigateur avant l'envoi : il n'existe donc jamais en clair sur le serveur.
Partagez un élément ou un dossier entier via un lien dont la clé de déchiffrement ne vit que dans le fragment de l'URL (#…) — la partie que les navigateurs n'envoient jamais au serveur. Définissez un TTL et un nombre de vues ; après la dernière vue, les données ne peuvent plus être ouvertes.
Créez un token qui ne peut lire que les éléments ou projets que vous autorisez. Activez la confirmation à chaque lecture : chaque accès est suspendu jusqu'à ce que vous l'approuviez depuis la cloche de l'application ou un message Telegram ; ajoutez une limite de débit et une expiration. L'intégration reçoit l'élément encore chiffré ainsi qu'une clé d'accès à usage unique pour le déchiffrer localement.
Transformez un dossier en projet doté de sa propre clé. Accordez à un autre utilisateur un accès en lecture ou en écriture : la clé du projet est scellée avec sa clé publique (X25519), il travaille donc avec les éléments les plus récents sans que le serveur n'en voie jamais de copie lisible. Révoquez n'importe quel accès à tout moment.
Stockez le secret TOTP d'un identifiant juste à côté et lisez le code rotatif en direct au même endroit — storage-p fait aussi office d'authentificateur. Vous pouvez également protéger votre propre compte avec une double authentification TOTP.
Importez un fichier Bitwarden JSON, un CSV KeePass, ou tout CSV avec les colonnes name/username/password/url/notes. L'analyse et le chiffrement s'exécutent sur votre appareil : les entrées sont rechiffrées avec votre clé et ne sont jamais envoyées en clair.
Obtenez un token d'accès via register/login, puis envoyez-le en tant que token Bearer. Les tokens d'accès sont de courte durée (15 min) ; renouvelez-les avec le refresh token.
Inscription, connexion et maintien de la session. Le mot de passe maître ne quitte jamais le navigateur — seul un auth-hash Argon2id est envoyé.
/api/v1/auth/register { email, master_password, kdf_salt_b64, kdf_memory_kib, kdf_iters, kdf_parallelism, pubkey_b64, privkey_enc_b64 }{ access_token, refresh_token, user_id, kdf_* }/api/v1/auth/login { email, master_password, totp_code? }{ access_token, refresh_token, user_id, kdf_*, totp_required }/api/v1/auth/refresh { refresh_token }{ access_token, refresh_token }/api/v1/auth/logout Bearer{ ok }/api/v1/auth/totp/setup Bearer{ secret_b32, current_code }{ ok }CRUD sur vos éléments. Tout entre et sort déjà chiffré ; le serveur ne stocke et ne renvoie que du texte chiffré.
/api/v1/vault Bearer[ { id, meta_enc_b64, body_enc_b64, version, created_at, updated_at } ]/api/v1/vault Bearer{ meta_enc_b64, body_enc_b64, blind_index_b64? }{ id, ... }/api/v1/vault/:id Bearer/api/v1/vault/:id Bearer{ meta_enc_b64?, body_enc_b64?, expected_version }/api/v1/vault/:id Bearer/api/v1/vault/trash Bearer/api/v1/vault/:id/restore Bearer/api/v1/vault/:id/purge BearerDeux façons de transmettre un secret à quelqu'un : un lien à usage unique burn-after-read, ou une livraison de bout en bout sealed-box à un autre utilisateur.
/api/v1/share Bearer{ payload_b64, nonce_b64, ttl_secs, max_views }{ id, expires_at }/api/v1/share/:id { payload_b64, nonce_b64 }/api/v1/users/lookup?email= Bearer{ user_id, pubkey_b64 }/api/v1/shares/user Bearer{ to_email, payload_b64 }/api/v1/shares/incoming Bearer/api/v1/shares/:id BearerLes tokens limités permettent à une intégration de lire des éléments sélectionnés, éventuellement soumis à votre confirmation dans l'application ou via Telegram.
/api/v1/tokens Bearer/api/v1/tokens Bearer{ name, item_ids[], require_confirmation, rate_limit_per_hour, ttl_secs }{ id, token, expires_at }/api/v1/tokens/:id Bearer/api/v1/confirmations/pending Bearer/api/v1/confirmations/:id/resolve Bearer{ decision: "approve"|"deny" }/api/v1/api/vault/:id Bearer (scoped token)Créez un token limité dans l'interface (Tokens API). Il ne peut lire que les éléments autorisés, et les lectures peuvent exiger une confirmation. Flux : le premier GET renvoie un confirmation_id avec le statut pending_confirmation ; le propriétaire approuve dans l'application ou via Telegram ; répétez le GET avec ?confirmation_id= pour recevoir l'élément (toujours chiffré côté client).
meta_enc / body_enc sont nonce(24)‖ciphertext, chiffrés avec la clé du coffre-fort dérivée du mot de passe maître. Le serveur ne peut pas les déchiffrer.