# Clés API

Utilisez des clés API pour authentifier vos requêtes API.

Stripe authentifie les requêtes API grâce aux clés API de votre compte. Si une requête ne contient pas de clé valide, Stripe renvoie une [erreur de requête non valide](https://docs.stripe.com/error-handling.md#invalid-request-errors). Si une requête contient une clé supprimée ou expirée, Stripe renvoie une [erreur d’authentification](https://docs.stripe.com/error-handling.md#authentication-errors).

Utilisez le [Dashboard pour développeurs](https://dashboard.stripe.com/test/apikeys) pour créer, révéler, supprimer et effectuer la rotation des clés API. Vous pouvez accéder à vos clés API dans l’onglet [Clés API](https://dashboard.stripe.com/test/apikeys).

> #### Si vous débutez sur Stripe
> 
> - **Protégez votre entreprise :** lisez nos [bonnes pratiques](https://docs.stripe.com/keys-best-practices.md) pour la gestion des clés.
- **Développer ou effectuer des tests** : Utilisez vos *clés de l’environnement de test (mode test)*. Les clés commencent par `pk_test_` (clé publique), `rk_test_` (clé limitée) et `sk_test_` (clé secrète). Elles vous permettent d’effectuer des tests sans affecter les données en mode production.
- **Lorsque vous êtes prêt à accepter de vrais paiements** : Passez à vos **clés du mode production**, qui commencent par `pk_live_`, `rk_live_` et `sk_live_`. Consultez la page [Passer en mode production](https://docs.stripe.com/keys.md#switch-to-live-mode) pour obtenir des instructions.
- **Si vous recherchez un secret de signature de webhook** : Les secrets de webhook sont distincts des clés d’API. Vous les trouverez dans la section [Webhooks](https://dashboard.stripe.com/webhooks) du Dashboard, sous chaque endpoint de webhook.

## Types de clés

Lorsque vous créez un compte Stripe, nous créons trois types de clés API pour vous :

| Type                                  | Sans danger ? | Description                                                                                                                                                                                                                                                                                                                                                                                           |
| ------------------------------------- | ------------------ | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| Clé API limitée (RAK)`rk_...`         | Non                | Clé API dont vous contrôlez les autorisations. Limitez les dommages pour votre entreprise qu’un acteur malveillant pourrait causer s’il obtenait votre clé. Créez autant de RAK que vous le souhaitez et affectez-les à différentes parties de votre application. [Ce guide](https://docs.stripe.com/keys/restricted-api-keys.md) explique comment configurer et utiliser les RAK.                    |
| Clé API publiable                     | Oui                | Clé API que vous pouvez intégrer dans du code front-end ou dans des applications que vous distribuez.                                                                                                                                                                                                                                                                                                 |
| Clé API secrète`sk_...`               | Non                | Clé API disposant d’autorisations illimitées sur toutes les API Stripe. Dans la mesure où il n’est pas possible de limiter ses autorisations, nous déconseillons d’utiliser les clés secrètes pour de nouveaux cas d’utilisation, et pour les intégrations existantes, nous recommandons de migrer l’utilisation des clés secrètes vers des RAK.                                                      |
| Clé API de l’organisation`sk_org_...` | Non                | Clé API fonctionnant au niveau de l’organisation. Similaire aux clés secrètes ou limitées au niveau du compte, mais opère au niveau de l’[organisation](https://docs.stripe.com/get-started/account/orgs.md) pour gérer plusieurs comptes Stripe à la fois. [Ce guide](https://docs.stripe.com/keys/organization-api-keys.md) explique comment configurer et utiliser les clés API de l’organisation. |

Nous prenons également en charge les [clés API gérées](https://docs.stripe.com/keys/managed-api-keys.md) émises par certaines plateformes d’hébergement. Les clés gérées sont des clés API secrètes qu’une plateforme d’hébergement transmet directement à vos applications hébergées. Vous n’avez pas besoin de les gérer directement ; votre fournisseur d’hébergement les émet et les renouvelle pour vous.

> #### Clé secrète de signature de webhook
> 
> Les clés secrètes de signature de webhook ne sont pas des clés API. Il s’agit de clés secrètes par webhook que votre récepteur webhook utilise pour s’assurer que les webhooks proviennent réellement de Stripe. Vous trouverez la clé secrète de signature pour chaque endpoint webhook dans la section [Webhooks](https://dashboard.stripe.com/webhooks) du Dashboard.

Si vous avez créé votre compte Stripe avant mai 2026, il est possible que vous n’ayez pas de clés API limitées. Nous vous recommandons de créer des RAK et de migrer depuis les clés secrètes.

Vous êtes responsable de la gestion sécurisée de vos clés API. Consultez notre guide sur les [bonnes pratiques de protection des clés API](https://docs.stripe.com/keys-best-practices.md).

### Environnement de test ou mode production

Toutes les requêtes vers l’API Stripe s’effectuent soit en *environnement de test* (A sandbox is an isolated test environment that allows you to test Stripe functionality in your account without affecting your live integration. Use sandboxes to safely experiment with new features and changes), soit en *mode production* (Use this mode when you’re ready to launch your app. Card networks or payment providers process payments). L’environnement de test permet de tester votre intégration et d’accéder aux données de test, tandis que le mode production permet d’accéder aux données réelles du compte. Chaque mode dispose de son propre ensemble de clés API, et les objets d’un mode ne sont pas accessibles dans l’autre. Par exemple, un [objet product](https://docs.stripe.com/api/products/object.md) en environnement de test ne peut pas être utilisé pour un paiement en mode production.

| Type                   | Quand l’utiliser                                                                                                                                                                                                                                                                   | Objets                                                                                                                                                                                                           | Comment l’utiliser                                                                                                                                                                                     | Considérations                                                                                                                                                                                                                                                             |
| ---------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| Environnements de test | Utilisez un environnement de test et les clés API test associées au fur et à mesure que vous développez votre intégration. Dans un bac à sable, les réseaux de cartes et les prestataires de services de paiement ne traitent pas les paiements.                                   | Les appels à l’API renvoient des objets fictifs. Vous pouvez par exemple récupérer et utiliser des objets `account`, `payment`, `customer`, `charge`, `refund`, `transfer`, `balance` et `subscription` de test. | Utilisez des [cartes et des comptes de test](https://docs.stripe.com/testing.md#cards). Vous ne pouvez pas accepter de moyens de paiement réels ni utiliser de vrais comptes.                          | [Identity](https://docs.stripe.com/identity.md) n’effectue aucun contrôle de vérification. Les objets [Account](https://docs.stripe.com/api/accounts/object.md) de Connect ne renvoient pas de champs sensibles.                                                           |
| Mode production        | Utilisez le mode production et les clés API de production correspondantes au moment de lancer votre intégration et de commencer à accepter des fonds. En mode production, les paiements sont réellement traités par les réseaux de cartes et fournisseurs de services de paiement. | Les appels à l’API renvoient des objets réels. Vous pouvez par exemple récupérer et utiliser des objets `account`, `payment`, `customer`, `charge`, `refund`, `transfer`, `balance` et `subscription` réels.     | Acceptez des cartes bancaires réelles et utilisez de vrais comptes client. Vous pouvez accepter des paiements, autorisations de paiement et captures réels à partir de cartes bancaires et de comptes. | Les litiges ont un flux plus nuancé et un [processus de test](https://docs.stripe.com/testing.md#disputes) plus simple. En outre, certains [moyens de paiement](https://docs.stripe.com/payments/payment-methods.md) ont un flux plus nuancé et nécessitent plus d’étapes. |

## Protéger vos clés

Seules les clés publiables peuvent être exposées en toute sécurité en dehors du back-end de votre application. Vous êtes responsable de la protection des autres clés API Stripe, y compris les clés API limitées. Voici quelques façons de protéger vos clés :

- Stockez les clés sensibles dans un coffre-fort de secrets fourni par votre plateforme d’hébergement. [Cet article de blog](https://stripe.dev/blog/securing-stripe-api-keys-aws-automatic-rotation) en présente un exemple. Si vous ne pouvez pas utiliser de coffre-fort de secrets, utilisez des variables d’environnement pour fournir les clés à vos applications back-end.
- Ne placez pas de clés dans le code source ou dans les fichiers de configuration versionnés.

- [Limitez les clés à des adresses IP spécifiques](https://docs.stripe.com/keys.md#limit-api-secret-keys-ip-address) afin que seuls vos serveurs puissent les utiliser.

- [Changez les clés](https://docs.stripe.com/keys.md#rolling-keys) lorsque des membres de votre équipe ayant accès à ces clés quittent votre organisation.
- Ne partagez pas vos clés par e-mail, messagerie instantanée ou tout autre canal non chiffré.

Pour un guide complet, consultez les [bonnes pratiques en matière de gestion des clés API secrètes](https://docs.stripe.com/keys-best-practices.md). Nous maintenons également [une bibliothèque de compétences](https://github.com/stripe/ai/tree/main/skills) pour aider les agents d’IA à suivre ces bonnes pratiques.

## Gérer vos clés API

Utilisez le [Dashboard](https://dashboard.stripe.com/apikeys) pour créer, révéler, modifier, supprimer et effectuer la rotation de vos clés API.

#### Créer une clé API limitée

Utilisez des [clés API limitées](https://docs.stripe.com/keys/restricted-api-keys.md) (RAK) dans la plupart des cas d’usage. Avec une RAK, vous pouvez attribuer précisément les autorisations dont votre intégration a besoin, ce qui limite les risques en cas de compromission de la clé.

- Suivez les instructions relatives aux [clés API limitées](https://docs.stripe.com/keys/restricted-api-keys.md) pour créer une RAK, configurer ses autorisations et migrer depuis les clés secrètes.

#### Créer une clé API secrète

Créez une clé API secrète non limitée uniquement si votre intégration nécessite un accès à toutes les API et ressources Stripe sans restriction. Si un acteur malveillant obtient votre clé secrète, il peut nuire à votre entreprise. Nous recommandons d’utiliser des RAK à la place.

1. Dans l’onglet [Clés API](https://dashboard.stripe.com/test/apikeys), cliquez sur **Créer une clé secrète**.
1. Dans la boîte de dialogue, saisissez le code de vérification que nous vous envoyons par e-mail ou par SMS. Si la boîte de dialogue ne se poursuit pas automatiquement, cliquez sur **Continuer**.
1. Saisissez un nom dans le champ **Nom de la clé**, puis cliquez sur **Créer**.
1. Cliquez sur la valeur de la clé pour la copier.
1. Enregistrez la valeur de la clé. Vous ne pourrez pas la récupérer plus tard.
1. Dans le champ **Ajouter une note**, saisissez l’emplacement où vous avez enregistré la clé, puis cliquez sur **Terminé**.

### Révéler une clé API

Lorsque vous créez une clé secrète en mode production, nous l’affichons une seule fois avant que vous la sauvegardiez. Copiez la clé avant de la sauvegarder, car il ne sera plus possible de la révéler ensuite.

En mode production, vous ne pouvez afficher que les clés API que nous créons pour vous, comme une clé secrète par défaut ou une clé générée par une rotation planifiée. En environnement de test, vous pouvez toujours voir toutes vos clés API, y compris les clés limitées et secrètes.

> Stockez les clés sensibles dans un endroit sûr où vous ne risquez pas de les perdre, comme un coffre-fort de secrets fourni par votre plateforme. Ne placez pas de clés dans le code de votre application.

Les clés API publiables ne sont pas sensibles : nous les affichons par défaut et aucune action n’est nécessaire pour les révéler.

Il nous est impossible de récupérer les clés que vous avez oubliées ou auxquelles vous n’avez plus accès. Si vous perdez une clé, faites-la pivoter ou supprimez-la, puis créez-en une autre.

#### Pour afficher une RAK en mode production

Vous ne pouvez afficher que les RAK en mode production que nous avons créées pour vous. Si vous créez vous-même une RAK, vous ne pourrez plus la révéler après l’avoir vue une fois.

1. Dans l’onglet [Clés API](https://dashboard.stripe.com/apikeys) en mode production, dans la liste **Clés limitées**, cliquez sur **Révéler la clé en mode production** pour la clé que vous souhaitez afficher.
1. Cliquez sur la valeur de la clé pour la copier.
1. Enregistrez la valeur de la clé dans le [coffre-fort de secrets](https://docs.stripe.com/keys-best-practices.md#use-a-secrets-vault) de votre plateforme. Si votre plateforme n’en fournit pas, utilisez une variable d’environnement.
1. Cliquez sur **Masquer la clé de production**.

#### Pour révéler une clé API secrète en mode production

Vous ne pouvez afficher que les clés secrètes en mode production que nous avons créées pour vous. Si vous créez vous-même une clé secrète, vous ne pourrez plus la révéler après l’avoir vue une fois.

1. Dans l’onglet [Clés API](https://dashboard.stripe.com/apikeys) en mode production, dans la liste **Clés standard**, cliquez sur **Révéler la clé en mode production** pour la clé que vous souhaitez afficher.
1. Cliquez sur la valeur de la clé pour la copier.
1. Enregistrez la valeur de la clé dans le [coffre-fort de secrets](https://docs.stripe.com/keys-best-practices.md#use-a-secrets-vault) de votre plateforme. Si votre plateforme n’en fournit pas, utilisez une variable d’environnement.
1. Cliquez sur **Masquer la clé de production**.
1. Cliquez sur le menu de débordement (⋯), puis sélectionnez **Modifier la clé** pour la clé à laquelle vous souhaitez ajouter une note.
1. Dans le champ **Note**, saisissez l’emplacement où vous avez enregistré la clé, puis cliquez sur **Enregistrer**.

### Limiter une clé API à certaines adresses IP

You can limit a secret or restricted API key to a range of IP addresses, or to one or more specific IP addresses. Stripe recommends enabling IP restrictions on all live mode keys to prevent use from unauthorized locations. Use separate IP allowlists for separate keys when applicable (for example, to distinguish between staging and production environments).

Les adresses IP doivent utiliser le protocole IPv4, et vous pouvez spécifier toute plage CIDR valide. Par exemple, la plage `100.10.38.0 - 100.10.38.255` peut être définie comme `100.10.38.0/24`. Toutes les adresses IP de la plage doivent commencer par `100.10.38`.

1. Dans l’onglet [Clés API](https://dashboard.stripe.com/test/apikeys), dans la liste **Clés limitées** ou **Clés standard**, cliquez sur le menu de débordement (⋯) de la clé que vous souhaitez révéler.

1. Sélectionnez **Gérer les restrictions d’adresses IP** > **Limiter l’utilisation à un ensemble d’adresses IP**.

1. Effectuez l’une des actions suivantes :

   - Saisissez une ou plusieurs adresses IP dans le champ **Adresse IP.**
   - Pour une plage d’adresses IP, saisissez la première adresse de la plage dans le champ **Adresse IP** (en notation CIDR, Classless Inter-Domain Routing), puis indiquez la taille du préfixe réseau dans le champ **CIDR**.

1. Pour ajouter une autre adresse IP ou plage, cliquez sur **+ Ajouter**.

1. Cliquez sur **Enregistrer**.

### Modifier le nom ou la note d’une clé API

1. Dans l’onglet [Clés API](https://dashboard.stripe.com/test/apikeys), cliquez sur le menu de débordement (⋯) de la clé que vous souhaitez modifier.
1. Sélectionnez **Modifier la clé**.
1. Effectuez les actions suivantes :
   - Pour modifier le nom, saisissez un nouveau nom dans le champ **Nom de la clé**.
   - Pour modifier le texte de la note, saisissez le nouveau texte dans le champ **Note**.
1. Cliquez sur **Enregistrer**.

### Faire expirer une clé API

Si vous faites expirer une clé API secrète ou une clé API restreinte, vous devez en créer une nouvelle et mettre à jour tout code qui utilise la clé expirée. Tout code utilisant la clé expirée ne peut plus effectuer d’appels à l’API.

> Vous ne pouvez pas faire expirer une clé publique.

1. Dans l’onglet [Clés API](https://dashboard.stripe.com/test/apikeys), dans la liste **Clés limitées** ou **Clés standard**, cliquez sur le menu de débordement (⋯) de la clé que vous souhaitez faire expirer.
1. Sélectionnez **Expire key (faire expirer la clés)**.
1. Dans la boîte de dialogue, cliquez sur **Expire key (Faire expirer la clé)**. Si vous ne souhaitez plus faire expirer la clé, cliquez sur **Cancel (Annuler)**.

### Modifier une clé API

La rotation d’une clé API la révoque et génère une clé de remplacement immédiatement utilisable. Vous pouvez également planifier la rotation d’une clé API à une date ultérieure. La clé de remplacement est nommée comme suit :

- Le nom de la clé publiable de remplacement est toujours `Publishable key`.
- Le nom de la clé secrète de remplacement est toujours `Secret key`.
- Le nom de la clé limitée de remplacement est identique à celui de la clé faisant l’objet de la rotation.

Vous pouvez renommer une clé API secrète ou limitée en modifiant la clé.

Effectuer la rotation d’une clé API dans les scénarios suivants :

- Si vous perdez une clé API secrète ou limitée en mode production et que vous ne pouvez pas la récupérer depuis le Dashboard.
- Si une clé API secrète ou limitée est compromise et que vous devez la révoquer afin de bloquer toute requête API potentiellement malveillante.
- Si un membre de l’équipe ayant accès à la clé quitte votre organisation ou change de rôle.
- Si votre politique impose une rotation des clés à intervalles réguliers.

#### Rotation d’une clé API

1. Dans l’onglet [Clés API](https://dashboard.stripe.com/test/apikeys), cliquez sur le menu de débordement (⋯) de la clé que vous souhaitez faire tourner.
1. Sélectionnez **Rotation de la clé**.
1. Sélectionnez une date d’expiration dans la liste déroulante **Expiration**. Si vous choisissez **Maintenant**, l’ancienne clé est supprimée. Si vous indiquez une heure, le temps restant avant l’expiration de la clé s’affiche sous le nom de la clé.
1. Cliquez sur **Rotation de la clé API**.
1. Cliquez sur la valeur de la clé pour la copier.
1. Enregistrez la valeur de la clé. Vous ne pourrez pas la récupérer plus tard.
1. Dans le champ **Ajouter une note**, saisissez l’emplacement où vous avez enregistré la clé, puis cliquez sur **Enregistrer** ou **Terminé**.

### Rétablir l’accès d’une clé API

L’accès d’une clé API peut être limité si elle n’a pas été utilisée pour créer des transferts ou des versements, ou pour mettre à jour des destinations de versement, pendant plus de 180 jours. Une clé avec un accès limité ne peut pas être utilisée pour ces opérations. Vous pouvez rétablir l’accès afin de réutiliser la clé normalement ou effectuer une action bloquée.

#### Pour rétablir l’accès d’une clé API

1. Dans l’onglet [Clés API](https://dashboard.stripe.com/test/apikeys), cliquez sur le menu de débordement (⋯) de la clé que vous souhaitez restaurer.
1. Sélectionnez **Restaurer l’accès**.
1. Cliquez sur **Restaurer**.

## Afficher les logs des requêtes API pour une clé

Pour [ouvrir les logs des requêtes API](https://docs.stripe.com/development/dashboard/request-logs.md), cliquez sur le menu de débordement (⋯) associé à une clé, puis sélectionnez **Afficher les logs des requêtes**. L’ouverture des logs vous redirige vers le Dashboard Stripe.

## Passer en mode production

Lorsque vous êtes prêt à accepter des paiements réels, utilisez des clés API en mode production plutôt que des clés d’environnement de test. Sur la page des [clés API](https://dashboard.stripe.com/apikeys), passez du **mode environnement de test** au **mode production**. La page affiche désormais vos clés API en mode production.

> #### Compléter la checklist de mise en production
> 
> Le changement de clés d’API n’est qu’une étape. Consultez la [liste de contrôle de mise en production](https://docs.stripe.com/get-started/checklist/go-live.md) complète pour vous assurer que votre intégration est prête pour la production.

### Clés publiables (côté client)

Copiez votre **clé publiable en mode production** (commençant par `pk_mode production_`), puis remplacez la clé `pk_test_` dans votre code côté client. Il est possible d’intégrer cette clé dans votre code ou vos applications en toute sécurité.

### Clés API limitées ou secrètes (côté serveur)

Les clés API côté serveur sont sensibles. Vérifiez donc nos [bonnes pratiques pour gérer les clés API secrètes](https://docs.stripe.com/keys-best-practices.md). Nous vous recommandons de générer des [clés API limitées](https://docs.stripe.com/keys/restricted-api-keys.md) pour votre code côté serveur afin de limiter les dommages pour votre entreprise si jamais vos clés sont exposées ou compromises.

1. Avant de commencer à utiliser une clé en mode production dans votre application back-end, supprimez toutes les clés API codées en dur de votre code. Utilisez plutôt un [coffre-fort de secrets](https://docs.stripe.com/keys-best-practices.md#use-a-secrets-vault) ou une variable d’environnement pour fournir la clé d’environnement de test, et confirmez que votre application fonctionne toujours. Si votre plateforme ne fournit pas de coffre-fort de secrets, vous pouvez utiliser une variable d’environnement.
1. [Affichez](https://docs.stripe.com/keys.md#reveal-an-api-key) et copiez vos **clés en mode production** (qui commencent par `rk_live_` ou `sk_live_`), puis stockez-les de manière sécurisée dans votre environnement serveur.
1. Configurez l’environnement de votre serveur pour fournir des clés en mode production plutôt que des clés d’environnement de test à votre application.

#### Clés de signature webhook (côté serveur)

Si vous utilisez des webhooks, mettez à jour l’URL de chaque endpoint de webhook et copiez le nouveau **secret de signature** dans la section [Webhooks](https://dashboard.stripe.com/webhooks) du Dashboard.

## See also

- [Bonnes pratiques pour gérer les clés secrètes d’API](https://docs.stripe.com/keys-best-practices.md)
- [Protéger vos clés API contre la compromission](https://support.stripe.com/questions/protecting-against-compromised-api-keys)
- [Pourquoi ma clé API a-t-elle un accès limité ?](https://support.stripe.com/questions/why-does-my-api-key-have-limited-access)