Invités et accès

Gérez l'accès à un coffre : invitez des destinataires nominatifs avec des droits individuels, imposez une vérification d'email et une liste d'adresses autorisées, et suivez les accès via les webhooks.

Un coffre peut rester privé tant que vous ne l'avez ouvert à personne. Pour partager son contenu, vous invitez des destinataires nominatifs (les invités) et vous décidez, invité par invité, s'ils peuvent télécharger ou seulement consulter. Vous pouvez aussi imposer une vérification d'email à l'entrée et restreindre l'accès à une liste d'adresses autorisées. Cette page explique comment contrôler précisément qui entre dans un coffre, à l'aide du sous-ressource guests et des deux réglages require_email_verification et allowed_emails.

Deux niveaux de contrôle

L'accès à un coffre se règle à deux endroits complémentaires. Le coffre lui-même porte des garde-fous globaux qui s'appliquent à tout visiteur de la page publique : la vérification d'email (require_email_verification) et la liste blanche d'adresses (allowed_emails). Les invités (guests) sont des destinataires nominatifs auxquels vous envoyez une invitation personnelle, chacun avec ses propres droits (téléchargement autorisé ou non, expiration, note interne). Vous pouvez utiliser l'un, l'autre, ou les deux ensemble.

Inviter un destinataire

Pour ajouter un invité, envoyez son adresse email. Le champ email est le seul obligatoire. Par défaut l'invité peut télécharger (can_download vaut true). Vous pouvez joindre une note interne (jamais montrée à l'invité) et fixer une date d'expiration expires_at au format ISO 8601 après laquelle son accès cesse.

POST/v1/coffres/{id}/guestsInvite un destinataire nominatif et renvoie son lien d'invitation.

import { Coffrify } from '@coffrify/sdk';
 
const coffrify = new Coffrify({ apiKey: process.env.COFFRIFY_API_KEY });
 
const { guest, invite_link } = await coffrify.coffres.guests.create(
  'cof_room_8h2k',
  {
    email: 'investisseur@exemple.com',
    can_download: true,
    note: 'Due diligence, série A',
    expires_at: '2026-07-01T00:00:00Z',
  },
);
 
console.log(guest.status);   // "pending"
console.log(invite_link);    // lien personnel à transmettre

La réponse contient l'objet guest et le invite_link. Ce lien est personnel : transmettez-le à l'invité par votre propre canal (email, messagerie). À sa première ouverture, l'invité passe de l'état pending à actif, et last_accessed_at est renseigné.

{
  "guest": {
    "id": "guest_3f9d",
    "email": "investisseur@exemple.com",
    "status": "pending",
    "can_download": true,
    "note": "Due diligence, serie A",
    "expires_at": "2026-07-01T00:00:00Z",
    "invite_link": "https://app.coffrify.com/c/data-room-serie-a-7b1c?t=...",
    "created_at": "2026-06-10T09:14:00Z"
  },
  "invite_link": "https://app.coffrify.com/c/data-room-serie-a-7b1c?t=..."
}

Lister les invités

Récupérez la liste des invités d'un coffre pour voir qui a accès, qui a déjà ouvert (champ last_accessed_at) et qui peut télécharger. Les invités révoqués sont exclus de la liste.

$ cof coffres guests list cof_room_8h2k
{
  "guests": [
    {
      "id": "guest_3f9d",
      "email": "investisseur@exemple.com",
      "status": "active",
      "can_download": true,
      "note": "Due diligence, serie A",
      "expires_at": "2026-07-01T00:00:00Z",
      "last_accessed_at": "2026-06-10T11:02:00Z",
      "created_at": "2026-06-10T09:14:00Z"
    }
  ]
}

Modifier ou révoquer un accès

Pour changer les droits d'un invité (par exemple retirer le téléchargement ou prolonger l'accès), envoyez un PATCH en précisant le guest_id et les champs à modifier parmi can_download, note et expires_at. Mettez expires_at à null pour retirer toute date d'expiration.

// Passer l'invité en lecture seule
await coffrify.coffres.guests.update('cof_room_8h2k', {
  guest_id: 'guest_3f9d',
  can_download: false,
});
 
// Révoquer définitivement l'accès
await coffrify.coffres.guests.revoke('cof_room_8h2k', {
  guest_id: 'guest_3f9d',
});

La révocation est immédiate : l'invité ne peut plus ouvrir le coffre et disparaît des listes. Si vous l'invitez à nouveau plus tard, un nouveau lien lui sera attribué.

Vérification d'email à l'entrée

Au-delà des invités nominatifs, vous pouvez exiger que tout visiteur prouve qu'il maîtrise une adresse email avant d'entrer. Activez require_email_verification à la création du coffre : le visiteur saisit son adresse, reçoit un code à usage unique et ne voit le contenu qu'après l'avoir validé. Combinez ce réglage avec allowed_emails pour n'autoriser qu'une liste d'adresses précises. Une adresse hors liste est refusée même si elle est vérifiée.

const coffre = await coffrify.coffres.create({
  title: 'Data room série A',
  status: 'active',
  require_email_verification: true,
  allowed_emails: [
    'investisseur@exemple.com',
    'avocat@cabinet.fr',
  ],
});

Réglage	Effet
`require_email_verification`	Impose une vérification par code avant l'accès au contenu du coffre.
`allowed_emails`	Limite l'accès aux seules adresses listées. Liste vide = aucune restriction par adresse.
Invités (`guests`)	Destinataires nominatifs avec lien personnel et droits individuels (téléchargement, expiration).

Être notifié des invitations

L'évènement webhook coffre.invitation_sent est émis chaque fois qu'une invitation part vers un invité externe. Abonnez-vous pour suivre les accès accordés depuis vos propres outils, par exemple pour journaliser qui a été invité à quelle data room. Les évènements voisins coffre.created, coffre.accessed (un invité a ouvert le coffre) et coffre.item_uploaded complètent le suivi du cycle de vie.

curl -X POST https://api.coffrify.com/v1/webhooks \
  -H "Authorization: Bearer $COFFRIFY_API_KEY" \
  -H "Content-Type: application/json" \
  -d '{
    "url": "https://exemple.com/hooks/coffrify",
    "events": ["coffre.invitation_sent", "coffre.accessed"]
  }'