Clés API
Introduction
Les clés API sont utilisées comme principal mécanisme d’authentification à l’API HUB2, il est donc primordial de comprendre ce qu’elles sont et comment s’en servir.
Clause de non-responsabilité : Un commerçant est responsable de la manière dont la clé API a été stockée de façon sécurisée sur sa plateforme. Hub2 ne peut être tenu responsable du traitement du trafic illégitime associé à une clé API d’un marchand qui aurait été volée ou divulguée.
La gestion des clés API est accessible sur le Dashboard Hub2, dans la partie “Développeur”, comme illustré ci-dessous :
La capture d’écran suivante montre la liste des clés existantes :
Gestion des clés
Création d’une clé API
La clé API n’est visible qu’au moment de sa création et n’est plus consultable après cette étape, pour des raisons de sécurité.
Créer une clé API
Cliquer sur le bouton “Créer une clé” permet d’accéder à la fenêtre suivante :
Détails
- (Facultatif) Entrer un nom et une description pour la nouvelle clé.
- Le paramètre
environnement(sandbox ou live) est requis. La nouvelle clé sera restreinte à cet environnement. En savoir plus sur les environnements.
Adresses IP autorisées
Dans cette section, il est possible de restreindre les adresses IP qui peuvent utiliser la clé API nouvellement créée.
Permissions
Les permissions de la nouvelle clé API peuvent être définies ici.
Les permissions définies pour une clé API permettent de séparer les responsabilités et les configurations avancées. Cette section permet à un commerçant d’utiliser différentes clés API, que son logiciel comporte ou non plusieurs composants ayant chacun un rôle différent.
Vérification et validation
Sur la page de résumé, vérifiez les paramètres de la nouvelle clé API, puis cliquez sur Valider.
La clé API n’est affichée qu’une seule fois. Enregistrez-la maintenant dans un coffre-fort sécurisé. Elle ne sera plus accessible ultérieurement.
Modification d’une clé
Sur chaque ligne de clé API, dans la colonne “Actions”, un bouton Éditer est disponible pour modifier les paramètres d’une clé. Ce processus d’édition est le même que le processus de création, à l’exception du fait que vous ne pourrez pas visualiser la clé. Tous les paramètres peuvent être modifiés.
La modification des permissions et des restrictions d’adresse IP est prise en compte dès la modification. Une attention particulière est requise avant de valider les modifications.
Suppression d’une clé
Dans la colonne “Actions”, un bouton Supprimer est disponible pour supprimer une clé.
La suppression d’une clé est irréversible. Le trafic HTTP utilisant la clé supprimée sera interrompu immédiatement après la suppression.
Utilisation des clés
Dans la référence de l’API, les endpoints nécessitant une authentification par ID marchand et clé API sont répertoriés. Pour ces endpoints, des en-têtes HTTP sont à configurer dans la requête HTTP pour l’identification et l’authentification de l’émetteur.
Configuration d’une clé API
Environnement
sandbox: Il s’agit d’un environnement cloisonné pour permettre les tests d’intégration. Aucun trafic, aucune transaction réelle ne sera créée si la clé API utilisée est configurée sur l’environnementsandbox. Le comportement des opérateurs est simulé par le serveur. Également, les comptes de transfert et de collecte utilisés pour les transactionssandboxseront les comptes desandbox.live: NB : Nécessite le GO LIVE et une revue d’intégration par le serveur avant de pouvoir faire du trafic en environnementlive(réel). Il s’agit de l’environnement réel, une clé dans cet environnement permet d’effectuer du trafic réel et les opérateurs seront contactés si les endpoints de transaction sont appelés.
En savoir plus sur les comptes de transfert et de collection.
Restriction des adresses IP
La restriction d’adresse IP est une fonctionnalité optionnelle à la disposition des marchands pour sécuriser davantage les échanges entre la plate-forme des marchands et Hub2.
Lorsqu’une restriction d’adresse IP a été configurée sur une clé API, Hub2 vérifie que l’adresse IP à l’origine de la requête HTTP est bien autorisée à utiliser la clé API qu’elle contient.
Les permissions
Les permissions configurables par clé API permettent aux marchands de créer plusieurs clés avec des permissions différentes, de sorte que chaque clé ait une responsabilité différente.
La liste complète des permissions et leur description est la suivante :
| Permission | Description |
|---|---|
Api.transfer_create | Autorise la création de transferts |
Api.transfer_read | Autorise la lecture des transferts |
Api.payment_intent_create | Autorise la création d’intentions de paiement |
Api.payment_intent_read | Autorise la lecture des intentions de paiement |
Api.payment_intent_auth_create | Autorise l’authentification d’un paiement |
Api.payment_fees_read | Autorise la lecture des frais d’un paiement |
Api.payment_create | Autorise la création d’un paiement sur une intention de paiement |
Api.provisioning_read | Autorise la lecture des demandes d’approvisionnement |
Api.provisioning_create | Autorise la demande de création d’un approvisionnement |
Api.merchant_balance_read | Autorise la lecture des soldes sur les comptes de transfert et de collecte |
Api.terminal_payment_create | Autorise la création d’un paiement par terminal de paiement |
Api.terminal_payment_read | Autorise la lecture des paiements par terminal de paiement |
Api.kyb_read | Autorise la lecture de kyb / kyb-transaction |
Api.kyb_update | Autorise la modification de kyb |
Api.kyb_delete | Autorise la suppression de kyb / kyb-transaction |
Api.kyb_create | Autorise la creation de kyb / kyb-transaction |
Bonnes pratiques
Rotation des clés API
Une bonne pratique en matière de sécurité est de renouveler régulièrement les clés API. Si une clé a été divulguée à un tiers par mégarde, ou volée par un tiers malveillant, supprimer les clés concernées pour en recréer d’autres permet de limiter les impacts sur l’activité d’un commerçant.