Clés API

Une clé API identifie votre entreprise auprès de l’API Prezevent et autorise vos applications à accéder à vos données de façon programmatique. Vous générez et gérez ces clés depuis votre espace entreprise, sans intervention du support.

Générer une clé

La création d’une clé est protégée par un code à usage unique (OTP) envoyé par email. Cette étape supplémentaire garantit que seule une personne disposant d’un accès à la boîte mail de l’entreprise peut émettre une nouvelle clé.

Lors de la création, vous pouvez renseigner deux options :

• un libellé : un nom parlant qui vous aide à identifier l’usage de la clé (par exemple le nom de l’application ou du service qui l’utilise) ;
• une date d’expiration : au-delà de cette date, la clé cesse d’être valide. C’est une bonne pratique pour limiter la durée de vie des accès.

1. Demandez l’envoi du code à usage unique : un email contenant l’OTP est adressé à l’entreprise.

2. Saisissez le code reçu pour confirmer votre identité et débloquer la création.

3. Nommez la clé (libellé) et, si vous le souhaitez, définissez sa date d’expiration.

4. Copiez la clé affichée et conservez-la immédiatement en lieu sûr.

La clé n’est affichée qu’une seule fois

Attention

La clé brute (sa valeur complète) n’est affichée qu’une seule fois, au moment de la création. Vous devez la copier et la stocker immédiatement dans un gestionnaire de secrets ou un emplacement sécurisé. Si vous la perdez, vous ne pourrez pas la récupérer : il faudra en générer une nouvelle.

Pour cette raison, la liste de vos clés n’affiche jamais la valeur brute : elle montre uniquement le préfixe de la clé accompagné de son libellé. Cela suffit à identifier une clé sans jamais réexposer son secret.

Révoquer ou supprimer une clé

Vous pouvez révoquer (supprimer) une clé à tout moment depuis la liste. Une clé révoquée cesse immédiatement d’être valide : toute requête qui l’utilise est alors refusée.

Attention

Révoquez immédiatement toute clé que vous pensez compromise (clé partagée par erreur, fuite dans un dépôt, départ d’un prestataire, etc.), puis générez-en une nouvelle pour les usages légitimes.

Bonnes pratiques de sécurité

• Traitez chaque clé comme un mot de passe : confidentielle et personnelle à un service.
• Ne committez jamais une clé dans un dépôt de code, même privé. Utilisez des variables d’environnement ou un gestionnaire de secrets.
• Donnez à chaque intégration sa propre clé et un libellé explicite : en cas de compromission, vous révoquez uniquement la clé concernée.
• Définissez une date d’expiration lorsque l’accès est temporaire.

Authentifier vos requêtes

Sur le principe, chaque appel à l’API doit présenter votre clé afin que Prezevent puisse identifier l’appelant et vérifier ses autorisations. Le format exact à utiliser (nom de l’en-tête HTTP, schéma d’authentification) dépend de l’implémentation.

À compléter

Ajouter ici l’exemple concret d’authentification : nom et format de l’en-tête HTTP attendu, et la manière d’y placer la clé. Ce détail dépend de l’implémentation de l’API et reste à documenter.