# Clés API

Utilisez les clés API pour authentifier les requêtes API.

Stripe authentifie vos requêtes API grâce aux clés API de votre compte. Si une requête ne contient pas de clé valide, Stripe renvoie une [erreur de requête non valide](https://docs.stripe.com/error-handling.md#invalid-request-errors). Si une requête contient une clé supprimée ou expirée, Stripe renvoie une [erreur d’authentification](https://docs.stripe.com/error-handling.md#authentication-errors).

Utilisez le [Dashboard des développeurs](https://dashboard.stripe.com/test/apikeys) pour créer, afficher, supprimer et faire une rotation les&nbsp;clés&nbsp;API. Vous pouvez accéder à vos&nbsp;clés&nbsp;API&nbsp;v1 dans l’onglet [Clés&nbsp;API](https://dashboard.stripe.com/test/apikeys).

> #### Êtes-vous un nouvel utilisateur de Stripe?
> 
> - **Développement et test?** Utilisez vos **clés de bac à sable (mode test)**. Les clés de bac à sable commencent par `pk_test_` (publique) et `sk_test_` (secret). Elles vous permettent d’effectuer des tests sans influer sur les données de mise en production.
- **Vous êtes prêt(e) à accepter de réels paiements?** Passez à vos **clés du mode production**, qui commencent par `pk_live_` et `sk_live_`. Consultez la section&nbsp;[Passer en mode production](https://docs.stripe.com/keys.md#switch-to-live-mode) pour obtenir des instructions.
- **Vous recherchez votre clé secrète de signature pour le lien de rappel?** Les clés secrètes de lien de rappel sont distinctes des clés&nbsp;API. Retrouvez-les dans la section&nbsp;[Liens de rappel](https://dashboard.stripe.com/webhooks) du Dashboard sous chaque point de terminaison du lien de rappel.

## Types de clés

Par défaut, tous les comptes disposent au total de quatre clés API&nbsp;:

| Type                              | Description                                                                                                                                                                                                                                                                                                                                                      |
| --------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| Clé secrète en mode bac à sable   | Authentifiez les requêtes sur votre serveur lorsque vous effectuez des tests dans un bac à sable. Par défaut, vous pouvez utiliser cette clé pour effectuer n’importe quelle requête API sans restriction. Réservez cette clé aux tests et au développement afin de vous assurer de ne pas modifier accidentellement vos clients ou paiements en mode production |
| Clé publiable en mode bac à sable | Testez les requêtes dans le code côté client de votre application Web ou mobile. Réservez cette clé pour les tests et le développement afin de vous assurer de ne pas modifier accidentellement vos clients ou vos paiements en mode production.                                                                                                                 |
| Clé secrète mode production       | Authentifier les requêtes sur votre serveur en mode production. Par défaut, vous pouvez utiliser cette clé pour effectuer n’importe quelle requête d’API sans restriction.                                                                                                                                                                                       |
| Clé publiable du mode production  | Utilisez cette clé lorsque vous êtes prêt à lancer votre application, dans le code côté client de votre application Web ou mobile.                                                                                                                                                                                                                               |

Vos clés secrètes et publiables se trouvent dans l’onglet [Clés API](https://dashboard.stripe.com/test/apikeys) du Dashboard. Si vous ne pouvez pas afficher vos clés API, demandez au propriétaire de votre compte Stripe de vous ajouter à son [équipe](https://docs.stripe.com/get-started/account/teams.md) avec les autorisations appropriées.

> #### Clés API limitées
> 
> Vous pouvez générer des [clés API restreintes](https://docs.stripe.com/keys-best-practices.md#limit-access) dans le Dashboard pour permettre un accès personnalisé et limité à l’API. Cependant, Stripe ne propose pas de clés restreintes par défaut.

> #### Vous recherchez la clé secrète de signature pour votre lien de rappel?
> 
> Les secrets de signature pour lien de rappel ne sont pas des clés&nbsp;API. Vous trouverez la clé secrète de signature pour chaque point de terminaison du lien de rappel dans la section&nbsp;[Liens de rappel](https://dashboard.stripe.com/webhooks) du Dashboard. Sélectionnez un point de terminaison et explorez la section&nbsp;**Clé secrète de signature**.

Si vous êtes connecté à Stripe, notre documentation remplit les exemples de code avec vos clés API test. Vous seul pouvez voir ces valeurs. Si vous n’êtes pas connecté, nos exemples de code incluent des clés API générées aléatoirement que vous pouvez remplacer par vos clés test. Vous pouvez également vous connecter pour voir les exemples de code remplis avec vos clés API test.

> #### Protéger vos clés API de test
> 
> Ne mettez aucune clé dans le code. Stockez les clés API de test dans un coffre-fort secret au lieu de les coder en dur dans votre code. Vous pouvez utiliser des [variables d’environnement](https://docs.stripe.com/keys-best-practices.md#set-an-api-key-as-an-environment-variable) pour exécuter des exemples de code. Vous pouvez ensuite exécuter, valider et partager des exemples de code sans exposer votre clé API.

### Exemples de clés API

Le tableau suivant montre des exemples de clés secrètes et publiables générées de manière aléatoire&nbsp;:

| Type      | Valeur                                 | Utilisation                                                                                                                                                                                                                                                                                                                                                                                                                                  |
| --------- | -------------------------------------- | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| Secrète   | `sk_test_BQokikJOvBiI2HlWgH4olfQ2`     | **Côté serveur uniquement.** Utilisez cette clé dans votre code dorsal (par exemple, dans une variable d’environnement) pour effectuer des appels&nbsp;API à Stripe. Gardez la clé privée, ne la partagez jamais, ne la soumettez jamais au contrôle de source et ne l’exposez jamais dans un navigateur ou une application mobile. Toute personne possédant cette clé peut effectuer des appels&nbsp;API au titre de votre compte.          |
| Publiable | `pk_test_TYooMQauvdEDq54NiTphI7jx`     | **Côté client (navigateur ou application mobile).** Utilisez cette clé dans votre code frontal pour collecter en toute sécurité les informations de paiement avec des outils comme [Stripe&nbsp;Elements](https://docs.stripe.com/payments/elements.md) ou [Stripe&nbsp;Checkout](https://docs.stripe.com/payments/checkout.md). Cette clé peut être publique.                                                                               |
| Limitée   | Une chaîne qui commence par `rk_test_` | **Côté serveur uniquement, avec des autorisations limitées.** Elle est similaire à une clé secrète, mais vous choisissez exactement les ressources&nbsp;API de Stripe auxquelles elle permet d’accéder. Utilisez des clés limitées plutôt que des clés secrètes lorsque vous souhaitez limiter ce qu’un système ou un tiers peut faire. Consulter les [clés&nbsp;API limitées](https://docs.stripe.com/keys-best-practices.md#limit-access). |

### Protéger vos clés

Toute personne disposant de votre clé secrète en mode production peut effectuer n’importe quel appel à l’API au nom de votre compte, par exemple, créer un paiement ou effectuer un remboursement. Protégez vos clés en suivant ces pratiques exemplaires&nbsp;:

- Stockez les clés secrètes dans un coffre-fort secret ou dans des variables d’environnement chiffrées. Ne stockez pas les clés dans le code source ni dans des fichiers de configuration enregistrés dans le système de contrôle de version.
- Utilisez des [clés API restreintes](https://docs.stripe.com/keys.md#create-restricted-api-secret-key) plutôt que des clés secrètes lorsque cela est possible. Les clés restreintes limitent l’accès aux ressources API précises dont votre intégration a besoin, ce qui réduit l’impact en cas de clé compromise.
- [Limitez les clés à des adresses IP précises](https://docs.stripe.com/keys.md#limit-api-secret-keys-ip-address) afin qu’elles ne puissent être utilisées qu’à partir de vos serveurs connus.
- [Faites une rotation des clés](https://docs.stripe.com/keys.md#rolling-keys) lorsque des membres de l’équipe ayant accès aux clés quittent votre organisation.
- Ne partagez pas les clés par courriel, par clavardage ou par d’autres canaux non chiffrés

Pour plus de détails, voir les [pratiques exemplaires de gestion des clés API secrètes](https://docs.stripe.com/keys-best-practices.md).

## Bac à sable ou mode production

Toutes les requêtes à l’API Stripe sont traitées soit en mode *sandbox* (A sandbox is an isolated test environment that allows you to test Stripe functionality in your account without affecting your live integration. Use sandboxes to safely experiment with new features and changes), soit en mode *live* (Use this mode when you’re ready to launch your app. Card networks or payment providers process payments). Vous pouvez utiliser un bac à sable pour accéder aux données de test et le mode production pour accéder aux données réelles du compte. Chaque mode dispose de son propre ensemble de&nbsp;clés&nbsp;API, et les éléments d’un mode ne sont pas accessibles depuis l’autre. Par exemple, un [élément de produit](https://docs.stripe.com/api/products/object.md) du bac à sable ne peut pas faire partie d’un paiement en mode production.

| Mode               | Préfixe clé            | Objectif                                                                                      |
| ------------------ | ---------------------- | --------------------------------------------------------------------------------------------- |
| Bac à sable (test) | `pk_test_`, `sk_test_` | Développez et testez votre intégration en toute sécurité. Aucun paiement réel n’est effectué. |
| Production         | `pk_live_`, `sk_live_` | Acceptez des paiements réels de la part de clients réels.                                     |

> #### Accès aux clés API en mode production
> 
> En mode production, vous ne pouvez révéler une&nbsp;clé&nbsp;API secrète ou limitée qu’une seule fois. Si vous la perdez, vous ne pouvez pas la récupérer à partir du Dashboard. Dans ce cas, faites la rotation de la clé ou supprimez-la, puis créez-en une nouvelle.

| Type            | Quand l’utiliser                                                                                                                                                                                                                          | Objets                                                                                                                                                                                                          | Comment l’utiliser                                                                                                                                                                                    | Considérations                                                                                                                                                                                                                                                                 |
| --------------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ |
| Bacs à sable    | Utilisez un bac à sable et les clés API test associées au fur et à mesure que vous développez votre intégration. Dans un bac à sable, les réseaux de cartes et les prestataires de services de paiement ne traitent pas les paiements.    | Les appels d’API renvoient des objets simulés. Par exemple, vous pouvez récupérer et utiliser des objets de test `account`, `payment`, `customer`, `charge`, `refund`, `transfer`, `balance` et `subscription`. | Utilisez des [cartes de crédit et des comptes de test](https://docs.stripe.com/testing.md#cards). Vous ne pouvez pas accepter de modes de paiement réels ou travailler avec des comptes réels.        | [Identity](https://docs.stripe.com/identity.md) n’effectue aucune vérification. De plus, les [objets Account](https://docs.stripe.com/api/accounts/object.md) de Connect ne renvoient pas de champs sensibles.                                                                 |
| Mode production | Utilisez le mode production et ses clés API associées lorsque vous êtes prêt à lancer votre intégration et à accepter de l’argent réel. En mode production, les réseaux de cartes et les fournisseurs de paiement traitent les paiements. | Les appels d’API renvoient des objets réels. Par exemple, vous pouvez récupérer et utiliser de vrais objets `account`, `payment`, `customer`, `charge`, `refund`, `transfer`, `balance` et `subscription`.      | Acceptez de véritables cartes de crédit et travaillez avec des comptes clients. Vous pouvez accepter des autorisations, frais et captures de paiement réels pour les cartes de crédit et les comptes. | Les flux de litiges sont plus nuancés et le [processus de test](https://docs.stripe.com/testing.md#disputes) est plus simple. De plus, certains [modes de paiement](https://docs.stripe.com/payments/payment-methods.md) ont un flux plus nuancé et nécessitent plus d’étapes. |

## Passer au mode production

Lorsque vous êtes prêt(e) à accepter de réels paiements, remplacez vos clés&nbsp;API de bac à sable (test) par vos clés de mode production. Elles se trouvent sur la même page de clés dans le Dashboard. Vous pouvez basculer entre le **mode test** et le **mode production** à l’aide de la touche à bascule dans le coin supérieur droit du Dashboard des développeurs.

1. Dans le [Dashboard des développeurs](https://dashboard.stripe.com/apikeys), désactivez le **mode test** en appuyant sur la touche à bascule mode dans le coin supérieur droit. La page affiche désormais vos clés&nbsp;API du mode production.
1. Copiez votre **clé publique de mode de production** (elle commence par `pk_live_`) et remplacez la clé `pk_test_` dans votre code côté client.
1. Affichez et copiez votre **clé secrète de mode de production** (commençant par `sk_live_`) et remplacez la clé `sk_test_` dans votre code côté serveur. Conservez-la en lieu sûr, vous ne pourrez la consulter qu’une seule fois.
1. Si vous utilisez des liens de rappel, mettez à jour l’URL de chaque point de terminaison du lien de rappel et copiez la nouvelle **clé secrète de signature** dans la section&nbsp;[Liens de rappel](https://dashboard.stripe.com/webhooks) du Dashboard.

> #### Liste de contrôle complète pour la mise en production
> 
> Le changement de la clé&nbsp;API n’est qu’une étape. Consultez la [liste de contrôle complète de mise en production](https://docs.stripe.com/get-started/checklist/go-live.md) pour vous assurer que votre intégration est prête pour la production.

## Clés API de l’organisation

Si vous avez plusieurs comptes d’entreprise Stripe au sein d’une [organisation](https://docs.stripe.com/get-started/account/orgs.md), vous pourrez configurer une seule clé API au niveau de l’organisation. Les clés API au niveau de l’organisation offrent la fonctionnalité suivante&nbsp;:

- **Accédez à n’importe quel compte**&nbsp;: utilisez les&nbsp;clés&nbsp;API de l’organisation pour accéder aux ressources de n’importe quel compte au sein de l’organisation.

- **Autorisations granulaires**&nbsp;: restreignez les&nbsp;clés&nbsp;API de l’organisation afin d’accorder des autorisations de lecture ou d’écriture uniquement à des ressources particulières.
- **Gestion centralisée**&nbsp;: créez et gérez les clés&nbsp;API de votre organisation dans l’onglet [Clés&nbsp;API](https://dashboard.stripe.com/org/api-keys/secret) du Dashboard de votre organisation.

### Comportement

Les clés API de l’organisation se comportent différemment des clés API au niveau du compte, y compris ce qui suit&nbsp;:

- Elles n’ont pas de clé publique. Traitez toutes les clés API de l’organisation comme des clés secrètes.
- Elles ont toutes le même préfixe `sk_org`, quel que soit leur niveau d’autorisation.
- Toutes les requêtes d’API effectuées à l’aide d’une clé API de l’organisation doivent inclure l’en-tête `Stripe-Context` afin d’identifier le compte concerné.
- Toutes les requêtes d’API effectuées à l’aide d’une clé d’API d’organisation doivent inclure l’en-tête `Stripe-Version` afin de garantir la cohérence et la prévisibilité des intégrations de votre organisation.

### Utiliser les clés API de l’organisation

Lorsque vous utilisez une clé API d’organisation, vous devez également effectuer ce qui suit&nbsp;:

- Précisez une version d’API en ajoutant un en-tête `Stripe-Version`. Lors de l’utilisation d’une trousse [SDK Stripe](https://docs.stripe.com/sdks/set-version.md), la trousse SDK définit automatiquement la version de l’API.
- Identifiez le compte concerné par la requête d’API en ajoutant l’en-tête `Stripe-Context`.

Prenons l’exemple de la structure organisationnelle suivante&nbsp;:

```
Organization (org_6SD3oI0eSQemPzdmaGLJ5j6)
  ├── Platform account  (acct_1R3fqDP6919yCiFv)
  |   └── Connected account (acct_1032D82eZvKYlo2C)
  └── Standalone account (acct_1aTnTtAAB0hHJ26p)
```

Vous pouvez utiliser la clé API de l’organisation pour accéder au solde du compte autonome. Vous pouvez également utiliser la même clé pour effectuer le même appel pour le compte connecté de la plateforme.

```curl
curl https://api.stripe.com/v1/balance \
  -u {{ORG_SECRET_KEY}}: \
  -H "Stripe-Version: {{STRIPE_API_VERSION}}" \
  -H "Stripe-Context: {{CONTEXT_ID}}"
```

Dans l’exemple de code précédent, remplacez `{{CONTEXT}}` par la valeur appropriée&nbsp;:

- Pour le compte autonome, utilisez `acct_1aTnTtAAB0hHJ26p`.
- Pour le compte connecté, utilisez un chemin d’accès qui identifie à la fois la plateforme et le compte connecté, en suivant le format `acct_1R3fqDP6919yCiFv/acct_1032D82eZvKYlo2C`.

Vous devez spécifier le compte concerné à l’aide du contexte et de la version de l’API dans toute requête d’API utilisant une clé d’organisation.

Les organisations ne disposent pas de&nbsp;clés&nbsp;API publiables, car elles ne peuvent pas accepter de paiements. Vous pouvez utiliser la&nbsp;clé&nbsp;API de votre organisation pour créer un PaymentIntent pour n’importe quel compte de votre organisation, mais vous devez utiliser les clés publiables existantes particulières au compte pour les opérations côté client.

## Clés&nbsp;API gérées

Certaines plateformes tierces, comme [Vercel](https://vercel.com/docs/integrations/ecommerce/stripe), peuvent créer et gérer des clés&nbsp;API en votre nom lorsque vous installez leur intégration. Ces clés sont appelées clés&nbsp;API gérées, et la plateforme les crée à l’aide d’un programme; vous n’avez pas à les créer manuellement dans le Dashboard.

Les clés&nbsp;API gérées s’affichent à côté de vos autres clés dans l’onglet [Clés&nbsp;API](https://dashboard.stripe.com/test/apikeys), avec le nom de la plateforme gestionnaire.

Le tableau suivant récapitule les différences entre les clés non gérées et gérées.

|                                | Clés non gérées                                                                      | Clés gérées                                                                                     |
| ------------------------------ | ------------------------------------------------------------------------------------ | ----------------------------------------------------------------------------------------------- |
| Création de clés               | Vous créez des clés dans le Dashboard                                                | La plateforme crée des clés à l’aide de l’API                                                   |
| Interaction avec l’utilisateur | Vous copiez les clés à partir du Dashboard et vous les configurez dans la plateforme | La plateforme gère automatiquement la configuration des clés                                    |
| Réception de la clé            | Affichée dans votre Dashboard                                                        | Transmise directement à la plateforme                                                           |
| Gestion des clés               | Vous contrôlez les rotations et les expirations                                      | La plateforme gère le cycle de vie des clés; vous pouvez rendre les clés caduques en tout temps |

### Révoquer l’accès à la clé géré

Vous pouvez révoquer une clé&nbsp;API gérée en tout temps en effectuant l’une des actions suivantes&nbsp;:

- **Faire expirer la clé**&nbsp;: dans l’onglet&nbsp;[Clés&nbsp;API](https://dashboard.stripe.com/apikeys), cliquez sur le menu déroulant (⋯) de la clé gérée et faites-la expirer. Cette action révoque immédiatement l’accès de la plateforme sans supprimer l’intégration.
- **Désinstaller l’intégration**&nbsp;: désinstallez l’application de la plateforme de votre compte&nbsp;Stripe. Lorsque vous désinstallez une application, vous pouvez choisir de faire expirer immédiatement les clés gérées ou de les garder actives.

## Clés secrètes et limitées

Utilisez le Dashboard pour créer, afficher, modifier, supprimer et faire la rotation des clés secrètes et limitées.

### Créer une&nbsp;clé&nbsp;API

Nous vous recommandons de créer des [clés API limitées](https://docs.stripe.com/keys-best-practices.md#limit-access) (RAK) pour la plupart des cas d’utilisation. Une clé RAK vous permet d’attribuer précisément les autorisations dont votre intégration a besoin, ce qui réduit les dommages qu’un pirate pourrait causer à votre entreprise s’il venait à s’emparer de votre clé. Ne créez une clé&nbsp;API secrète non limitée que si votre intégration nécessite un accès à l’ensemble des API et des ressources Stripe.

#### Pour créer une&nbsp;clé&nbsp;API limitée

1. Dans l’onglet [Clés&nbsp;API](https://dashboard.stripe.com/test/apikeys), effectuez l’une des actions suivantes&nbsp;:
   - Pour créer une clé limitée, cliquez sur **Créer une clé limitée**. La valeur par défaut pour toutes les autorisations est **Aucune**.
   - Pour cloner une clé existante, cliquez sur le menu déroulant (⋯), puis sélectionnez **Dupliquer la clé** pour la clé que vous souhaitez cloner. La valeur par défaut pour chaque autorisation est la valeur de la clé clonée.
1. Saisissez un nom dans le champ **Nom de la clé**. Si vous avez cloné une clé existante, le nom par défaut est le nom de la clé clonée.
1. Pour chaque ressource à laquelle vous souhaitez que la nouvelle clé ait accès, sélectionnez l’autorisation appropriée&nbsp;: **Aucune**, **Lire** ou **Écrire**. Si vous utilisez Connect, vous pouvez également sélectionner l’autorisation à accorder à cette clé lors de l’accès aux comptes connectés.
1. Cliquez sur **Créer une clé**.
1. Dans la boîte de dialogue, saisissez le code de vérification que Stripe vous a envoyé par courriel ou par SMS. Si la boîte de dialogue ne s’ouvre pas automatiquement, cliquez sur **Continuer**.
1. Cliquez sur la valeur de la clé pour la copier.
1. Enregistrez la valeur de la clé. Vous ne pourrez pas la récupérer plus tard.
1. Dans le champ **Ajouter une note**, saisissez l’emplacement où vous avez enregistré la clé, puis cliquez sur **Terminé**.

#### Pour créer une&nbsp;clé&nbsp;API secrète

1. Dans l’onglet [Clés&nbsp;API](https://dashboard.stripe.com/test/apikeys), cliquez sur **Créer une clé secrète**.
1. Dans la boîte de dialogue, saisissez le code de vérification que Stripe vous a envoyé par courriel ou par SMS. Si la boîte de dialogue ne s’ouvre pas automatiquement, cliquez sur **Continuer**.
1. Saisissez un nom dans le champ **Nom de la clé**, puis cliquez sur **Créer**.
1. Cliquez sur la valeur de la clé pour la copier.
1. Enregistrez la valeur de la clé. Vous ne pourrez pas la récupérer plus tard.
1. Dans le champ **Ajouter une note**, saisissez l’emplacement où vous avez enregistré la clé, puis cliquez sur **Terminé**.

### Afficher une&nbsp;clé&nbsp;API

Vous pouvez afficher une&nbsp;clé&nbsp;API secrète ou une&nbsp;clé&nbsp;API limitée dans un bac à sable ou en mode production.

En mode production, Stripe ne vous montre la&nbsp;clé&nbsp;API qu’une seule fois (pour des raisons de sécurité). Conservez la clé dans un endroit où vous ne risquez pas de la perdre. Pour vous rappeler où vous l’avez sauvegardée, vous pouvez ajouter une note sur la clé dans le Dashboard. Si vous perdez la clé, vous pouvez la remplacer ou la supprimer et en créer une autre.

> #### Afficher les clés secrètes du mode production
> 
> Une fois que vous avez créé une clé API secrète ou limitée en mode production, nous l’affichons avant que vous ne l’enregistriez. Vous devez copier la clé avant de l’enregistrer, car vous ne pourrez pas la copier ultérieurement. Vous pouvez uniquement révéler une clé secrète par défaut ou une clé générée par une rotation planifiée.

#### Pour afficher une&nbsp;clé&nbsp;API secrète dans un bac à sable

1. Dans l’onglet [Clés&nbsp;API](https://dashboard.stripe.com/test/apikeys), dans la liste **Clés standard**, cliquez sur **Afficher la clé de test** dans la colonne **Clé secrète**. Vous pouvez afficher la&nbsp;clé&nbsp;API secrète autant de fois que vous le souhaitez.
1. Cliquez sur la valeur de la clé pour la copier.
1. Enregistrez la valeur de la clé.
1. Cliquez sur **Masquer la clé test**.

#### Pour afficher une&nbsp;clé&nbsp;API secrète ou limitée en mode production

1. Dans l’onglet [Clés&nbsp;API](https://dashboard.stripe.com/apikeys) en mode production, dans la liste **Clés standard** ou **Clés limitées**, cliquez sur **Afficher la clé active** pour la clé que vous souhaitez afficher.
1. Cliquez sur la valeur de la clé pour la copier.
1. Enregistrez la valeur de la clé.
1. Cliquez sur **Masquer la clé test**.
1. Cliquez sur le menu déroulant (⋯), puis sélectionnez **Modifier la clé** pour la clé à laquelle vous souhaitez ajouter une note.
1. Dans le champ **Note**, saisissez l’emplacement où vous avez enregistré la clé, puis cliquez sur **Enregistrer**.

> Les clés que vous avez créées avant l’application de cette fonctionnalité par Stripe ne seront pas automatiquement masquées lorsqu’elles seront activées. Vous devez les masquer manuellement en cliquant sur **Masquer la clé active**.

### Limiter une&nbsp;clé&nbsp;API à certaines adresses&nbsp;IP

Vous pouvez limiter une clé API secrète ou une clé API restreinte à une plage d’adresses IP, ou à une ou plusieurs adresses IP précises. Stripe recommande d’activer les restrictions d’IP sur toutes les clés en mode production pour empêcher leur utilisation depuis des emplacements non autorisés. Utilisez des listes d’adresses IP autorisées distinctes pour différentes clés, lorsque cela est pertinent (par exemple, pour distinguer les environnements de préproduction et de production).

Les adresses&nbsp;IP doivent utiliser le protocole&nbsp;IPv4, et vous pouvez préciser n’importe quelle plage d’adresses CIDR valide. Par exemple, une plage d’adresses valide pourrait être `100.10.38.0 - 100.10.38.255`, et vous pouvez la préciser comme `100.10.38.0/24`. Toutes les adresses&nbsp;IP de la plage doivent commencer par `100.10.38`.

1. Dans l’onglet [Clés&nbsp;API](https://dashboard.stripe.com/test/apikeys), dans la liste **Clés standard** ou **Clés limitées**, cliquez sur le menu déroulant (⋯) correspondant à la clé que vous souhaitez afficher.

1. Sélectionnez **Gérer les restrictions des adresses&nbsp;IP** > **Limiter l’utilisation à un groupe d’adresses&nbsp;IP**.

1. Effectuez l’une des actions suivantes&nbsp;:

   - Saisissez une ou plusieurs adresses&nbsp;IP individuelles dans le champ **Adresse&nbsp;IP**.
   - Pour une plage d’adresses&nbsp;IP, saisissez la première adresse de la plage (en utilisant la notation CIDR (Classless Inter-Domain Routing)) dans le champ **Adresse&nbsp;IP**. Saisissez la taille du préfixe réseau dans le champ **CIDR**.

1. Pour ajouter une autre adresse&nbsp;IP ou plage d’adresses, cliquez sur **+ Ajouter**.

1. Cliquez sur **Enregistrer**.

### Modifier le nom ou la note d’une&nbsp;clé&nbsp;API

1. Dans l’onglet [Clés&nbsp;API](https://dashboard.stripe.com/test/apikeys), cliquez sur le menu déroulant (⋯) correspondant à la clé que vous souhaitez modifier.
1. Sélectionnez **Modifier la clé**.
1. Procédez comme suit&nbsp;:
   - Pour modifier le nom, saisissez un nouveau nom dans le champ **Nom de la clé**.
   - Pour modifier le texte de la note, saisissez le nouveau texte dans le champ **Note**.
1. Cliquez sur **Enregistrer**.

### Faire expirer une clé&nbsp;API

Si vous faites expirer une clé&nbsp;API secrète ou une clé&nbsp;API limitée, vous devez en créer une nouvelle et mettre à jour tout code qui utilise la clé expirée. Tout code qui utilise la clé expirée ne peut plus effectuer d’appels à l’API.

> Il n’est pas possible de faire expirer une clé publique.

1. Dans l’onglet&nbsp;[Clés&nbsp;API](https://dashboard.stripe.com/test/apikeys), dans la liste&nbsp;**Clés standard** ou **Clés limitées**, cliquez sur le menu déroulant (⋯) correspondant à la clé que vous souhaitez faire expirer.
1. Sélectionnez **Faire expirer la clé**.
1. Dans la boîte de dialogue, cliquez sur **Faire expirer la clé**. Si vous ne souhaitez plus faire expirer la clé, cliquez sur **Annuler**.

### Faire pivoter une clé API

Faire la rotation d’une&nbsp;clé&nbsp;API la révoque et génère une clé de remplacement prête à être utilisée immédiatement. Vous pouvez également programmer une rotation de&nbsp;clé&nbsp;API à des intervalles réguliers. La clé de remplacement est nommée comme suit&nbsp;:

- Le nom de la clé publiable de remplacement est toujours `Clé publiable`.
- Le nom de la clé secrète de remplacement est toujours `Clé secrète`.
- Le nom de la clé limitée de remplacement est identique à celui de la clé en rotation.

Vous pouvez renommer une&nbsp;clé&nbsp;API secrète ou limitée en modifiant la clé.

Faites la rotation d’une&nbsp;clé&nbsp;API dans les scénarios suivants&nbsp;:

- Si vous perdez une&nbsp;clé&nbsp;API secrète ou limitée en mode production et vous ne pouvez pas la récupérer depuis le Dashboard.
- Si une&nbsp;clé&nbsp;API secrète ou limitée est compromise, et vous devez la révoquer pour bloquer toute requête à l’API potentiellement malveillante susceptible d’utiliser cette clé.
- Si un membre de l’équipe ayant accès à la clé quitte votre organisation ou change de rôle.
- Si votre politique exige la rotation des clés à intervalles réguliers.

#### Faire la rotation (changer) d’une&nbsp;clé&nbsp;API

1. Dans l’onglet [Clés&nbsp;API](https://dashboard.stripe.com/test/apikeys), cliquez sur le menu déroulant (⋯) correspondant à la clé dont vous souhaitez faire la rotation.
1. Sélectionnez **Faire la rotation de la clé** (changer la clé).
1. Sélectionnez une date d’expiration dans le menu déroulant **Expiration**. Si vous choisissez **Maintenant**, l’ancienne clé sera supprimée. Si vous précisez une heure, le temps restant avant l’expiration de la clé s’affichera sous le nom de la clé.
1. Cliquez sur **Alterner la clé API **.
1. Cliquez sur la valeur de la clé pour la copier.
1. Enregistrez la valeur de la clé. Vous ne pourrez pas la récupérer plus tard.
1. Dans le champ **Ajouter une note**, saisissez l’emplacement où vous avez enregistré la clé, puis cliquez sur **Enregistrer**, ou sur **Terminé**.

### Rétablir l’accès d’une clé API

Une clé API peut voir son accès limité si elle n’a pas été utilisée pour créer des transferts, des paiements ou mettre à jour des destinations de paiement depuis plus de 180&nbsp;jours. Vous ne pouvez pas utiliser une clé à accès limité pour créer des paiements et des transferts ou pour créer des destinations de paiement. Vous pouvez rétablir l’accès pour utiliser la clé normalement ou pour effectuer une action bloquée.

#### Pour rétablir l’accès d’une clé API

1. Dans l’onglet [Clés API](https://dashboard.stripe.com/test/apikeys), cliquez sur le menu déroulant (⋯) correspondant à la clé que vous souhaitez rétablir.
1. Sélectionnez **Rétablir l’accès**.
1. Cliquez sur **Rétablir**.

## Consulter les journaux des requêtes à l’API

Pour [ouvrir les journaux des requêtes à l’API](https://docs.stripe.com/development/dashboard/request-logs.md), cliquez sur le menu de débordement (⋯) de n’importe quelle clé, puis sélectionnez **Afficher les journaux des requêtes **. L’ouverture des journaux vous redirige vers le Dashboard Stripe.

## See also

- [Bonnes pratiques en matière de gestion des clés API secrètes](https://docs.stripe.com/keys-best-practices.md)
- [Protection contre les clés API compromises](https://support.stripe.com/questions/protecting-against-compromised-api-keys)
- [Pourquoi ma clé API a-t-elle un accès limité?](https://support.stripe.com/questions/why-does-my-api-key-have-limited-access)