Introduction

Les clés API sont utilisées comme principal mécanisme d’authentification à l’API HUB2, il est donc primordial de comprendre ce qu’elles sont et comment s’en servir.
Clause de non-responsabilité : Un commerçant est responsable de la manière dont la clé API a été stockée de façon sécurisée sur sa plateforme. Hub2 ne peut être tenu responsable du traitement du trafic illégitime associé à une clé API d’un marchand qui aurait été volée ou divulguée.
La gestion des clés API est accessible sur le Dashboard Hub2, dans la partie “Développeur”, comme illustré ci-dessous :
La capture d’écran suivante montre la liste des clés existantes :

Gestion des clés

Création d’une clé API

La clé API n’est visible qu’au moment de sa création et n’est plus consultable après cette étape, pour des raisons de sécurité.
1

Créer une clé API

Cliquer sur le bouton “Créer une clé” permet d’accéder à la fenêtre suivante :
2

Détails

  • (Facultatif) Entrer un nom et une description pour la nouvelle clé.
  • Le paramètre environnement (sandbox ou live) est requis. La nouvelle clé sera restreinte à cet environnement. En savoir plus sur les environnements.
3

Adresses IP autorisées

Dans cette section, il est possible de restreindre les adresses IP qui peuvent utiliser la clé API nouvellement créée.
4

Permissions

Les permissions de la nouvelle clé API peuvent être définies ici.Les permissions définies pour une clé API permettent de séparer les responsabilités et les configurations avancées. Cette section permet à un commerçant d’utiliser différentes clés API, que son logiciel comporte ou non plusieurs composants ayant chacun un rôle différent.
5

Vérification et validation

Sur la page de résumé, vérifiez les paramètres de la nouvelle clé API, puis cliquez sur Valider.
La clé API n’est affichée qu’une seule fois. Enregistrez-la maintenant dans un coffre-fort sécurisé. Elle ne sera plus accessible ultérieurement.

Modification d’une clé

Sur chaque ligne de clé API, dans la colonne “Actions”, un bouton Éditer est disponible pour modifier les paramètres d’une clé. Ce processus d’édition est le même que le processus de création, à l’exception du fait que vous ne pourrez pas visualiser la clé. Tous les paramètres peuvent être modifiés.
La modification des permissions et des restrictions d’adresse IP est prise en compte dès la modification. Une attention particulière est requise avant de valider les modifications.

Suppression d’une clé

Dans la colonne “Actions”, un bouton Supprimer est disponible pour supprimer une clé.
La suppression d’une clé est irréversible. Le trafic HTTP utilisant la clé supprimée sera interrompu immédiatement après la suppression.

Utilisation des clés

Dans la référence de l’API, les endpoints nécessitant une authentification par ID marchand et clé API sont répertoriés. Pour ces endpoints, des en-têtes HTTP sont à configurer dans la requête HTTP pour l’identification et l’authentification de l’émetteur.

Configuration d’une clé API

Environnement

  • sandbox : Il s’agit d’un environnement cloisonné pour permettre les tests d’intégration. Aucun trafic, aucune transaction réelle ne sera créée si la clé API utilisée est configurée sur l’environnement sandbox. Le comportement des opérateurs est simulé par le serveur. Également, les comptes de transfert et de collecte utilisés pour les transactions sandbox seront les comptes de sandbox.
  • live : NB : Nécessite le GO LIVE et une revue d’intégration par le serveur avant de pouvoir faire du trafic en environnement live (réel). Il s’agit de l’environnement réel, une clé dans cet environnement permet d’effectuer du trafic réel et les opérateurs seront contactés si les endpoints de transaction sont appelés.
En savoir plus sur les comptes de transfert et de collection.

Restriction des adresses IP

La restriction d’adresse IP est une fonctionnalité optionnelle à la disposition des marchands pour sécuriser davantage les échanges entre la plate-forme des marchands et Hub2. Lorsqu’une restriction d’adresse IP a été configurée sur une clé API, Hub2 vérifie que l’adresse IP à l’origine de la requête HTTP est bien autorisée à utiliser la clé API qu’elle contient.

Les permissions

Les permissions configurables par clé API permettent aux marchands de créer plusieurs clés avec des permissions différentes, de sorte que chaque clé ait une responsabilité différente. La liste complète des permissions et leur description est la suivante :
PermissionDescription
Api.transfer_createAutorise la création de transferts
Api.transfer_readAutorise la lecture des transferts
Api.payment_intent_createAutorise la création d’intentions de paiement
Api.payment_intent_readAutorise la lecture des intentions de paiement
Api.payment_intent_auth_createAutorise l’authentification d’un paiement
Api.payment_fees_readAutorise la lecture des frais d’un paiement
Api.payment_createAutorise la création d’un paiement sur une intention de paiement
Api.provisioning_readAutorise la lecture des demandes d’approvisionnement
Api.provisioning_createAutorise la demande de création d’un approvisionnement
Api.merchant_balance_readAutorise la lecture des soldes sur les comptes de transfert et de collecte
Api.terminal_payment_createAutorise la création d’un paiement par terminal de paiement
Api.terminal_payment_readAutorise la lecture des paiements par terminal de paiement
Api.kyb_readAutorise la lecture de kyb / kyb-transaction
Api.kyb_updateAutorise la modification de kyb
Api.kyb_deleteAutorise la suppression de kyb / kyb-transaction
Api.kyb_createAutorise la creation de kyb / kyb-transaction

Bonnes pratiques

Rotation des clés API

Une bonne pratique en matière de sécurité est de renouveler régulièrement les clés API. Si une clé a été divulguée à un tiers par mégarde, ou volée par un tiers malveillant, supprimer les clés concernées pour en recréer d’autres permet de limiter les impacts sur l’activité d’un commerçant.