# Clés API

Utilisez les clés API pour authentifier les requêtes API.

Stripe authentifie vos requêtes API grâce aux clés API de votre compte. Si une requête ne contient pas de clé valide, Stripe renvoie une [erreur de requête non valide](https://docs.stripe.com/error-handling.md#invalid-request-errors). Si une requête contient une clé supprimée ou expirée, Stripe renvoie une [erreur d’authentification](https://docs.stripe.com/error-handling.md#authentication-errors).

Utilisez le [Dashboard des développeurs](https://dashboard.stripe.com/test/apikeys) pour créer, afficher, supprimer et faire une rotation les&nbsp;clés&nbsp;API. Vous pouvez accéder à vos&nbsp;clés&nbsp;API dans l’onglet [Clés&nbsp;API](https://dashboard.stripe.com/test/apikeys).

> #### Si vous êtes nouveau sur Stripe
> 
> - **Assurez la sécurité de votre entreprise&nbsp;:** lisez nos [bonnes pratiques](https://docs.stripe.com/keys-best-practices.md) pour la gestion des clés.
- **Développement et test**&nbsp;: utilisez vos *clés de bac à sable (mode test)*. Les clés de bac à sable commencent par `pk_test_` (publique), `rk_test_` (limité) et `sk_test_` (secret). Elles vous permettent d’effectuer des tests sans influer sur les données de mise en production.
- **Lorsque vous êtes prêt(e) à accepter de réels paiements**&nbsp;: passez à vos **clés du mode production**, qui commencent par `pk_live_`, `rk_live_` et `sk_live_`. Consultez la section [Passer en mode production](https://docs.stripe.com/keys.md#switch-to-live-mode) pour obtenir des instructions.
- **Si vous devez trouver un secret de signature de lien de rappel HTTP**&nbsp;: les secrets de lien de rappel HTTP sont distincts des clés API. Vous pouvez les trouver dans la section [liens de rappel HTTP](https://dashboard.stripe.com/webhooks) du Dashboard, sous chaque point de terminaison de lien de rappel HTTP.

## Types de clés

Lorsque vous créez un compte Stripe, nous générons pour vous trois types de clés API&nbsp;:

| Type                               | Peut être exposé sans risque | Description                                                                                                                                                                                                                                                                                                                                                                                                        |
| ---------------------------------- | ---------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ |
| Clé API limitée (RAK)`rk_...`      | Non                          | Clé API dont vous contrôlez les autorisations. Limitez les dommages qu’un pirate pourrait causer à votre entreprise s’il venait à obtenir votre clé. Créez autant de RAK que vous le souhaitez et attribuez-les à différentes parties de votre formulaire d’inscription. [Ce guide](https://docs.stripe.com/keys/restricted-api-keys.md) explique comment configurer et utiliser les RAK.                          |
| Clé API publiable                  | Oui                          | Clé API que vous pouvez intégrer dans le code front-end ou dans les applications que vous distribuez.                                                                                                                                                                                                                                                                                                              |
| Clé API secrète`sk_...`            | Non                          | Clé API disposant d’autorisations illimitées sur toutes les API Stripe. Étant donné qu’il n’est pas possible de limiter ces autorisations, nous déconseillons l’utilisation de clés secrètes pour les nouveaux cas d’utilisation. Quant aux intégrations existantes, nous recommandons de migrer l’utilisation des clés secrètes vers des RAK.                                                                     |
| Clé API d’organisation`sk_org_...` | Non                          | Clé API qui fonctionne au niveau de l’organisation. Comme les clés restreintes ou secrètes au niveau du compte, elle fonctionne toutefois au niveau de l’[organisation](https://docs.stripe.com/get-started/account/orgs.md) pour gérer plusieurs comptes Stripe à la fois. [Ce guide](https://docs.stripe.com/keys/organization-api-keys.md) explique comment configurer et utiliser les clés API d’organisation. |

Nous prenons également en charge les [clés API gérées](https://docs.stripe.com/keys/managed-api-keys.md) émises par certaines plateformes d’hébergement. Les clés gérées sont des clés API secrètes qu’une plateforme d’hébergement transmet directement à vos applications hébergées. Vous n’avez pas besoin de gérer ces clés directement ; votre fournisseur d’hébergement les émet et les renouvelle pour vous.

> #### Secrets de signature de lien de rappel
> 
> Les secrets de signature du lien de rappel HTTP ne sont pas des clés API&nbsp;: il s’agit de secrets propres à chaque lien de rappel HTTP que votre destinataire utilise pour vérifier que les liens de rappel HTTP proviennent bien de Stripe. Vous trouverez le secret de signature de chaque point de terminaison du lien de rappel HTTP dans la section [Liens de rappel HTTP](https://dashboard.stripe.com/webhooks) du Dashboard.

Si vous avez créé votre compte Stripe avant mai&nbsp;2026, il est possible que vous ne disposiez d’aucune clé API limitée. Nous vous recommandons de créer des RAK et de migrer à partir des clés secrètes.

Vous êtes responsable de la gestion sécurisée de vos clés API. Lisez notre guide sur les [bonnes pratiques de protection des clés API](https://docs.stripe.com/keys-best-practices.md).

### Bac à sable ou mode production

Toutes les requêtes à l’API Stripe sont traitées soit en mode *sandbox* (A sandbox is an isolated test environment that allows you to test Stripe functionality in your account without affecting your live integration. Use sandboxes to safely experiment with new features and changes), soit en mode *live* (Use this mode when you’re ready to launch your app. Card networks or payment providers process payments). Vous pouvez utiliser un bac à sable pour tester votre intégration et accéder aux données de test et le mode production pour accéder aux données réelles du compte. Chaque mode dispose de son propre ensemble de&nbsp;clés&nbsp;API, et les éléments d’un mode ne sont pas accessibles depuis l’autre. Par exemple, un [élément de produit](https://docs.stripe.com/api/products/object.md) du bac à sable ne peut pas faire partie d’un paiement en mode production.

| Type            | Quand l’utiliser                                                                                                                                                                                                                          | Objets                                                                                                                                                                                                          | Comment l’utiliser                                                                                                                                                                                    | Considérations                                                                                                                                                                                                                                                                 |
| --------------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ |
| Bacs à sable    | Utilisez un bac à sable et les clés API test associées au fur et à mesure que vous développez votre intégration. Dans un bac à sable, les réseaux de cartes et les prestataires de services de paiement ne traitent pas les paiements.    | Les appels d’API renvoient des objets simulés. Par exemple, vous pouvez récupérer et utiliser des objets de test `account`, `payment`, `customer`, `charge`, `refund`, `transfer`, `balance` et `subscription`. | Utilisez des [cartes de crédit et des comptes de test](https://docs.stripe.com/testing.md#cards). Vous ne pouvez pas accepter de modes de paiement réels ou travailler avec des comptes réels.        | [Identity](https://docs.stripe.com/identity.md) n’effectue aucune vérification. De plus, les [objets Account](https://docs.stripe.com/api/accounts/object.md) de Connect ne renvoient pas de champs sensibles.                                                                 |
| Mode production | Utilisez le mode production et ses clés API associées lorsque vous êtes prêt à lancer votre intégration et à accepter de l’argent réel. En mode production, les réseaux de cartes et les fournisseurs de paiement traitent les paiements. | Les appels d’API renvoient des objets réels. Par exemple, vous pouvez récupérer et utiliser de vrais objets `account`, `payment`, `customer`, `charge`, `refund`, `transfer`, `balance` et `subscription`.      | Acceptez de véritables cartes de crédit et travaillez avec des comptes clients. Vous pouvez accepter des autorisations, frais et captures de paiement réels pour les cartes de crédit et les comptes. | Les flux de litiges sont plus nuancés et le [processus de test](https://docs.stripe.com/testing.md#disputes) est plus simple. De plus, certains [modes de paiement](https://docs.stripe.com/payments/payment-methods.md) ont un flux plus nuancé et nécessitent plus d’étapes. |

## Protéger vos clés

Seules les clés publiables peuvent être exposées en toute sécurité en dehors du programme dorsal de votre application. Vous êtes responsable de la protection des autres clés API Stripe, y compris les clés API restreintes. Voici quelques moyens de protéger vos clés&nbsp;:

- Stockez les clés sensibles dans un coffre à secrets fourni par votre plateforme d’hébergement. [Ce message de blogue](https://stripe.dev/blog/securing-stripe-api-keys-aws-automatic-rotation) en offre un exemple. Si vous ne pouvez pas utiliser de coffre à secrets, utilisez des variables d’environnement pour fournir les clés à vos applications dorsales.
- Ne mettez pas les clés dans le code source ou dans des fichiers de configuration qui sont soumis au contrôle de version.
- [Limitez les clés à des adresses IP spécifiques](https://docs.stripe.com/keys.md#limit-api-secret-keys-ip-address) afin que seuls vos serveurs puissent les utiliser.
- [Faites une rotation des clés](https://docs.stripe.com/keys.md#rolling-keys) lorsque des membres de l’équipe ayant accès aux clés quittent votre organisation.
- Ne partagez pas les clés par courriel, par clavardage ou par d’autres canaux non chiffrés

Pour un guide complet, consultez les [bonnes pratiques en matière de gestion des clés API secrètes](https://docs.stripe.com/keys-best-practices.md). Nous maintenons également [une bibliothèque de compétences](https://github.com/stripe/ai/tree/main/skills) pour aider les agents IA à respecter ces bonnes pratiques.

## Gérer vos clés API

Utilisez le [Dashboard](https://dashboard.stripe.com/apikeys) pour créer, afficher, modifier, supprimer et faire la rotation de vos clés API.

#### Créer une clé API limitée

Utilisez des [clés API limitées](https://docs.stripe.com/keys/restricted-api-keys.md) (RAK) pour la plupart des cas d’utilisation. Une clé RAK vous permet d’attribuer précisément les autorisations dont votre intégration a besoin, ce qui réduit les dommages qu’un pirate pourrait causer à votre entreprise s’il venait à s’emparer de votre clé.

- Suivez les instructions sur [les clés API limitées](https://docs.stripe.com/keys/restricted-api-keys.md) pour créer une RAK, configurer ses autorisations et migrer depuis les clés secrètes.

#### Créer une clé API secrète

Créez une clé API secrète sans restriction uniquement lorsque votre intégration nécessite un accès sans restriction à toutes les API et ressources Stripe. Si un acteur malveillant obtient votre clé secrète, il peut nuire à votre entreprise. Nous vous recommandons plutôt d’utiliser des RAK (clés API limitées).

1. Dans l’onglet [Clés&nbsp;API](https://dashboard.stripe.com/test/apikeys), cliquez sur **Créer une clé secrète**.
1. Dans la boîte de dialogue, saisissez le code de vérification que nous vous avons envoyé par courriel ou par message texte. Si la boîte de dialogue ne s’ouvre pas automatiquement, cliquez sur **Continuer**.
1. Saisissez un nom dans le champ **Nom de la clé**, puis cliquez sur **Créer**.
1. Cliquez sur la valeur de la clé pour la copier.
1. Enregistrez la valeur de la clé. Vous ne pourrez pas la récupérer plus tard.
1. Dans le champ **Ajouter une note**, saisissez l’emplacement où vous avez enregistré la clé, puis cliquez sur **Terminé**.

### Afficher une&nbsp;clé&nbsp;API

Lorsque vous créez une clé secrète en mode production, nous l’affichons une seule fois avant que vous ne l’enregistriez. Copiez la clé avant de l’enregistrer, car vous ne pourrez pas la révéler plus tard.

En mode production, vous ne pouvez révéler que les clés API que nous créons pour vous, comme une clé secrète par défaut ou une clé générée par une rotation planifiée. En mode bac à sable, vous pouvez toujours voir toutes vos clés API, y compris les clés limitées et les clés secrètes.

> Stockez les clés sensibles dans un endroit où vous ne les perdrez pas, comme un coffre à secrets fourni par votre plateforme. Ne mettez pas les clés dans le code de votre application.

Les clés API publiables ne sont pas sensibles, donc nous les affichons par défaut et vous n’avez rien à faire pour les révéler.

Nous ne pouvons pas récupérer les clés que vous avez oubliées ou auxquelles vous avez perdu l’accès. Si vous perdez une clé, faites-la pivoter ou supprimez-la, puis créez-en une autre.

#### Pour révéler une RAK en mode production

Vous ne pouvez révéler que les RAK en mode production que nous avons créés pour vous. Si vous créez vous-même un RAK, vous ne pourrez pas le révéler après l’avoir vu une seule fois.

1. Dans l’onglet [Clés&nbsp;API](https://dashboard.stripe.com/apikeys) en mode production, dans la liste **Clés limitées**, cliquez sur **Afficher la clé active** pour la clé que vous souhaitez afficher.
1. Cliquez sur la valeur de la clé pour la copier.
1. Enregistrez la valeur de la clé dans le [coffre-fort de secrets](https://docs.stripe.com/keys-best-practices.md#use-a-secrets-vault) de votre plateforme. Si votre plateforme n’en fournit pas, utilisez une variable d’environnement.
1. Cliquez sur **Masquer la clé de production**.

#### Pour afficher une&nbsp;clé&nbsp;API secrète en mode production

Vous ne pouvez révéler que les clés secrètes en mode production que nous avons créés pour vous. Si vous créez vous-même une clé secrète, vous ne pourrez pas le révéler après l’avoir vu une seule fois.

1. Dans l’onglet [Clés&nbsp;API](https://dashboard.stripe.com/apikeys) en mode production, dans la liste **Clés standard**, cliquez sur **Afficher la clé active** pour la clé que vous souhaitez afficher.
1. Cliquez sur la valeur de la clé pour la copier.
1. Enregistrez la valeur de la clé dans le [coffre-fort de secrets](https://docs.stripe.com/keys-best-practices.md#use-a-secrets-vault) de votre plateforme. Si votre plateforme n’en fournit pas, utilisez une variable d’environnement.
1. Cliquez sur **Masquer la clé de production**.
1. Cliquez sur le menu déroulant (⋯), puis sélectionnez **Modifier la clé** pour la clé à laquelle vous souhaitez ajouter une note.
1. Dans le champ **Note**, saisissez l’emplacement où vous avez enregistré la clé, puis cliquez sur **Enregistrer**.

### Limiter une&nbsp;clé&nbsp;API à certaines adresses&nbsp;IP

Vous pouvez limiter une clé API secrète ou une clé API restreinte à une plage d’adresses IP, ou à une ou plusieurs adresses IP précises. Nous recommandons d’activer les restrictions d’IP sur toutes les clés en mode production pour empêcher leur utilisation depuis des emplacements non autorisés. Utilisez des listes d’adresses IP autorisées distinctes pour différentes clés, lorsque cela est pertinent (par exemple, pour distinguer les environnements de préproduction et de production).

Les adresses&nbsp;IP doivent utiliser le protocole&nbsp;IPv4, et vous pouvez préciser n’importe quelle plage d’adresses CIDR valide. Par exemple, une plage d’adresses valide pourrait être `100.10.38.0 - 100.10.38.255`, et vous pouvez la préciser comme `100.10.38.0/24`. Toutes les adresses&nbsp;IP de la plage doivent commencer par `100.10.38`.

1. Dans l’onglet [Clés&nbsp;API](https://dashboard.stripe.com/test/apikeys), dans la liste **Clés standard** ou **Clés limitées**, cliquez sur le menu déroulant (⋯) correspondant à la clé que vous souhaitez afficher.

1. Sélectionnez **Gérer les restrictions des adresses&nbsp;IP** > **Limiter l’utilisation à un groupe d’adresses&nbsp;IP**.

1. Effectuez l’une des actions suivantes&nbsp;:

   - Saisissez une ou plusieurs adresses&nbsp;IP individuelles dans le champ **Adresse&nbsp;IP**.
   - Pour une plage d’adresses&nbsp;IP, saisissez la première adresse de la plage (en utilisant la notation CIDR (Classless Inter-Domain Routing)) dans le champ **Adresse&nbsp;IP**. Saisissez la taille du préfixe réseau dans le champ **CIDR**.

1. Pour ajouter une autre adresse&nbsp;IP ou plage d’adresses, cliquez sur **+ Ajouter**.

1. Cliquez sur **Enregistrer**.

### Modifier le nom ou la note d’une&nbsp;clé&nbsp;API

1. Dans l’onglet [Clés&nbsp;API](https://dashboard.stripe.com/test/apikeys), cliquez sur le menu déroulant (⋯) correspondant à la clé que vous souhaitez modifier.
1. Sélectionnez **Modifier la clé**.
1. Procédez comme suit&nbsp;:
   - Pour modifier le nom, saisissez un nouveau nom dans le champ **Nom de la clé**.
   - Pour modifier le texte de la note, saisissez le nouveau texte dans le champ **Note**.
1. Cliquez sur **Enregistrer**.

### Faire expirer une clé&nbsp;API

Si vous faites expirer une clé&nbsp;API secrète ou une clé&nbsp;API limitée, vous devez en créer une nouvelle et mettre à jour tout code qui utilise la clé expirée. Tout code qui utilise la clé expirée ne peut plus effectuer d’appels à l’API.

> Il n’est pas possible de faire expirer une clé publique.

1. Dans l’onglet&nbsp;[Clés&nbsp;API](https://dashboard.stripe.com/test/apikeys), dans la liste&nbsp;**Clés standard** ou **Clés limitées**, cliquez sur le menu déroulant (⋯) correspondant à la clé que vous souhaitez faire expirer.
1. Sélectionnez **Faire expirer la clé**.
1. Dans la boîte de dialogue, cliquez sur **Faire expirer la clé**. Si vous ne souhaitez plus faire expirer la clé, cliquez sur **Annuler**.

### Faire pivoter une clé API

Faire la rotation d’une&nbsp;clé&nbsp;API la révoque et génère une clé de remplacement prête à être utilisée immédiatement. Vous pouvez également programmer une rotation de&nbsp;clé&nbsp;API à des intervalles réguliers. La clé de remplacement est nommée comme suit&nbsp;:

- Le nom de la clé publiable de remplacement est toujours `Clé publiable`.
- Le nom de la clé secrète de remplacement est toujours `Clé secrète`.
- Le nom de la clé limitée de remplacement est identique à celui de la clé en rotation.

Vous pouvez renommer une&nbsp;clé&nbsp;API secrète ou limitée en modifiant la clé.

Faites la rotation d’une&nbsp;clé&nbsp;API dans les scénarios suivants&nbsp;:

- Si vous perdez une&nbsp;clé&nbsp;API secrète ou limitée en mode production et vous ne pouvez pas la récupérer depuis le Dashboard.
- Si une&nbsp;clé&nbsp;API secrète ou limitée est compromise, et vous devez la révoquer pour bloquer toute requête à l’API potentiellement malveillante susceptible d’utiliser cette clé.
- Si un membre de l’équipe ayant accès à la clé quitte votre organisation ou change de rôle.
- Si votre politique exige la rotation des clés à intervalles réguliers.

#### Faire la rotation (changer) d’une&nbsp;clé&nbsp;API

1. Dans l’onglet [Clés&nbsp;API](https://dashboard.stripe.com/test/apikeys), cliquez sur le menu déroulant (⋯) correspondant à la clé dont vous souhaitez faire la rotation.
1. Sélectionnez **Faire la rotation de la clé** (changer la clé).
1. Sélectionnez une date d’expiration dans le menu déroulant **Expiration**. Si vous choisissez **Maintenant**, l’ancienne clé sera supprimée. Si vous précisez une heure, le temps restant avant l’expiration de la clé s’affichera sous le nom de la clé.
1. Cliquez sur **Alterner la clé API **.
1. Cliquez sur la valeur de la clé pour la copier.
1. Enregistrez la valeur de la clé. Vous ne pourrez pas la récupérer plus tard.
1. Dans le champ **Ajouter une note**, saisissez l’emplacement où vous avez enregistré la clé, puis cliquez sur **Enregistrer**, ou sur **Terminé**.

### Rétablir l’accès d’une clé API

Une clé API peut voir son accès limité si elle n’a pas été utilisée pour créer des transferts, des paiements ou mettre à jour des destinations de paiement depuis plus de 180&nbsp;jours. Vous ne pouvez pas utiliser une clé à accès limité pour créer des paiements et des transferts ou pour créer des destinations de paiement. Vous pouvez rétablir l’accès pour utiliser la clé normalement ou pour effectuer une action bloquée.

#### Pour rétablir l’accès d’une clé API

1. Dans l’onglet [Clés API](https://dashboard.stripe.com/test/apikeys), cliquez sur le menu déroulant (⋯) correspondant à la clé que vous souhaitez rétablir.
1. Sélectionnez **Rétablir l’accès**.
1. Cliquez sur **Rétablir**.

## Afficher les journaux des requêtes à l’API pour une clé

Pour [ouvrir les journaux des requêtes à l’API](https://docs.stripe.com/development/dashboard/request-logs.md), cliquez sur le menu de débordement (⋯) de n’importe quelle clé, puis sélectionnez **Afficher les journaux des requêtes **. L’ouverture des journaux vous redirige vers le Dashboard Stripe.

## Passer au mode production

Lorsque vous êtes prêt à accepter des paiements réels, utilisez les clés API en mode de production plutôt que celles en mode bac à sable (test). Sur la page [Clés API](https://dashboard.stripe.com/apikeys), basculez du **mode bac à sable** au **mode de production**. La page affiche désormais vos clés API en mode de production.

> #### Liste de contrôle complète pour la mise en production
> 
> Le changement de la clé&nbsp;API n’est qu’une étape. Consultez la [liste de contrôle complète de mise en production](https://docs.stripe.com/get-started/checklist/go-live.md) pour vous assurer que votre intégration est prête pour la production.

### Clés publiques (côté client)

Copiez votre **clé publique de mode de production** (elle commence par `pk_live_`) et remplacez la clé `pk_test_` dans votre code côté client. Il est sûr d’intégrer cette clé dans votre code ou vos applications.

### Clés API limitées ou secrètes (côté serveur)

Les clés API côté serveur sont sensibles. Vérifiez donc nos [bonnes pratiques en matière de gestion des clés API secrètes](https://docs.stripe.com/keys-best-practices.md). Nous vous recommandons de générer des [clés API limitées](https://docs.stripe.com/keys/restricted-api-keys.md) pour votre code côté serveur pour limiter les dommages pour votre entreprise si jamais vos clés sont exposées ou compromises.

1. Avant de commencer à utiliser une clé de mode production dans votre application dorsale, supprimez toute clé API codée en dur dans votre code. Utilisez plutôt un [coffre-fort de secrets](https://docs.stripe.com/keys-best-practices.md#use-a-secrets-vault) pour fournir la clé de bac à sable, et confirmez que votre application fonctionne toujours. Si votre plateforme ne fournit pas de coffre-fort de secrets, vous pouvez utiliser une variable d’environnement.
1. [Révélez](https://docs.stripe.com/keys.md#reveal-an-api-key) et copiez vos **clés en mode production** (qui commencent par `rk_live_` ou `sk_live_`) et stockez-les de façon sécurisée dans votre environnement de serveur.
1. Configurez votre environnement serveur de manière à fournir à votre application des clés en mode production plutôt que des clés de bac à sable.

#### Clés de signature de lien de rappel HTTP (côté serveur)

Si vous utilisez des liens de rappel, mettez à jour l’URL de chaque point de terminaison du lien de rappel et copiez la nouvelle **clé secrète de signature** dans la section&nbsp;[Liens de rappel](https://dashboard.stripe.com/webhooks) du Dashboard.

## See also

- [Bonnes pratiques en matière de gestion des clés API secrètes](https://docs.stripe.com/keys-best-practices.md)
- [Protection contre les clés API compromises](https://support.stripe.com/questions/protecting-against-compromised-api-keys)
- [Pourquoi ma clé API a-t-elle un accès limité?](https://support.stripe.com/questions/why-does-my-api-key-have-limited-access)