# Clés API Utilisez des clés API pour authentifier vos requêtes API. Stripe authentifie vos requêtes API grâce aux clés API de votre compte. Si une requête ne contient pas de clé valide, Stripe renvoie une [erreur de requête non valide](https://docs.stripe.com/error-handling.md#invalid-request-errors). Si une requête contient une clé supprimée ou expirée, Stripe renvoie une [erreur d’authentification](https://docs.stripe.com/error-handling.md#authentication-errors). Utilisez le [Dashboard pour développeurs](https://dashboard.stripe.com/test/apikeys) pour créer, révéler, supprimer et effectuer la rotation des clés API. Vous pouvez accéder à vos clés API v1 dans l’onglet [Clés API](https://dashboard.stripe.com/test/apikeys). > #### Vous débutez sur Stripe ? > > - **Vous développez ou effectuez des tests ?** Utilisez vos clés de l’**environnement de test (mode test)**. Les clés commencent par `pk_test_` (clé publique) et `sk_test_` (clé secrète). Elles vous permettent d’effectuer des tests sans affecter les données en mode production. - **Vous êtes prêt à accepter de vrais paiements ?** Passez à vos **clés du mode production**, qui commencent par `pk_live_` et `sk_live_`. Consultez la page [Passer en mode production](https://docs.stripe.com/keys.md#switch-to-live-mode) pour obtenir des instructions. - **Vous recherchez votre secret de signature de webhook ?** Les secrets de webhook sont distincts des clés d’API. Vous les trouverez dans la section [Webhooks](https://dashboard.stripe.com/webhooks) du Dashboard, sous chaque endpoint de webhook. ## Types de clés Par défaut, tous les comptes disposent au total de quatre clés API : | Type | Description | | ----------------------------------------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | Clé secrète en mode environnement de test | Authentifiez les requêtes sur votre serveur lors des tests en environnement de test. Par défaut, cette clé permet d’effectuer n’importe quelle requête API sans restriction. Réservez-la aux phases de test et de développement afin de vous assurer de ne pas modifier accidentellement vos clients ou vos paiements en mode production. | | Environnement de test d’une clé publiable | Testez les requêtes dans le code côté client de votre application Web ou mobile. Réservez cette clé pour les tests et le développement afin de vous assurer de ne pas modifier accidentellement vos clients ou vos paiements en mode production. | | Clé secrète en mode production | Authentifiez les requêtes sur votre serveur en mode production. Par défaut, vous pouvez utiliser cette clé pour effectuer n’importe quelle requête d’API sans restriction. | | Clé publiable en mode production | Lorsque vous êtes prêt à lancer votre application, utilisez cette clé dans le code côté client de votre application Web ou mobile. | Vos clés secrètes et publiables se trouvent dans l’onglet [clés API](https://dashboard.stripe.com/test/apikeys) du Dashboard. Si vous ne pouvez pas afficher vos clés API, demandez au propriétaire de votre compte Stripe de vous ajouter à son [équipe](https://docs.stripe.com/get-started/account/teams.md) avec les autorisations appropriées. > #### Clés API limitées > > Vous pouvez générer des [clés API restreintes](https://docs.stripe.com/keys-best-practices.md#limit-access) dans le Dashboard pour permettre un accès personnalisé et limité à l’API. Cependant, Stripe ne propose pas de clés restreintes par défaut. > #### Vous recherchez votre secret de signature de webhook ? > > Les webhook signing secrets (secrets de signature des webhooks) ne sont pas des clés d’API. Vous trouverez le secret de signature de chaque endpoint de webhook dans la section [Webhooks](https://dashboard.stripe.com/webhooks) du Dashboard. Sélectionnez un endpoint et développez la section **Signing secret (secret de signature)**. Si vous êtes connecté à Stripe, notre documentation remplit des exemples de code avec vos clés API test. Vous seul pouvez voir ces valeurs. Si vous n’êtes pas connecté, nos exemples de code incluent des clés API générées aléatoirement que vous pouvez remplacer par vos clés test. Vous pouvez également vous connecter pour voir les exemples de code remplis avec vos clés API test. ### Exemples de clés API Le tableau suivant présente des exemples de clés secrètes et publiques générées de manière aléatoire : | Type | Valeur | Utilisation | | --------- | ------------------------------------ | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | Secrète | `sk_test_BQokikJOvBiI2HlWgH4olfQ2` | **Côté serveur uniquement.** Utilisez cette clé dans votre code back-end (par exemple, dans une variable d’environnement) pour effectuer des appels à l’API Stripe. Préservez sa confidentialité : ne la partagez jamais, ne la versionnez pas dans le code source et ne l’exposez pas dans un navigateur ou une application mobile. Toute personne disposant de cette clé peut effectuer des appels à l’API au nom de votre compte. | | Publiable | `pk_test_TYooMQauvdEDq54NiTphI7jx` | **Côté client (navigateur ou application mobile).** Utilisez cette clé dans votre code front-end pour collecter des informations de paiement de manière sécurisée avec des outils comme [Stripe Elements](https://docs.stripe.com/payments/elements.md) ou [Stripe Checkout](https://docs.stripe.com/payments/checkout.md). Cette clé peut être publique. | | Limitée | Une chaîne commençant par `rk_test_` | **Côté serveur uniquement, avec des autorisations limitées.** Comme une clé secrète, mais vous choisissez précisément aux ressources de l’API Stripe auxquelles elle peut accéder. Utilisez des clés limitées plutôt que des clés secrètes lorsque vous souhaitez limiter les actions qu’un système ou un tiers peut effectuer. Consultez la section [Clés d’API limitées](https://docs.stripe.com/keys-best-practices.md#limit-access). | ### Protéger vos clés N’importe quelle personne peut utiliser votre clé secrète en mode production pour effectuer un appel à l’API au nom de votre compte, comme par exemple créer un paiement ou effectuer un remboursement. Protégez vos clés en suivant ces bonnes pratiques : - Sauvegardez les clés secrètes dans un coffre-fort de secrets ou dans des variables d’environnement chiffrées. Ne les sauvegardez pas dans le code source ni dans les fichiers de configuration versionnés. - Utilisez des [clés API limitées](https://docs.stripe.com/keys.md#create-restricted-api-secret-key) plutôt que des clés secrètes lorsque ceci est possible. Les clés limitées aident à restreindre l’accès aux seules références d’API spécifiques dont votre intégration a besoin, réduisant ainsi l’impact d’une clé compromise. - [Limitez les clés à des adresses IP spécifiques](https://docs.stripe.com/keys.md#limit-api-secret-keys-ip-address) afin qu’elles ne puissent être utilisées que depuis vos serveurs connus. - [Changez les clés](https://docs.stripe.com/keys.md#rolling-keys) lorsque des membres de votre équipe ayant accès à ces clés quittent votre organisation. - Ne partagez pas vos clés par e-mail, messagerie instantanée ou tout autre canal non chiffré. Pour plus de détails, consultez les [bonnes pratiques de gestion des clés API secrètes](https://docs.stripe.com/keys-best-practices.md). ## Environnement de test ou mode production Toutes les requêtes vers l’API Stripe s’effectuent soit en *environnement de test* (A sandbox is an isolated test environment that allows you to test Stripe functionality in your account without affecting your live integration. Use sandboxes to safely experiment with new features and changes), soit en *mode production* (Use this mode when you’re ready to launch your app. Card networks or payment providers process payments). L’environnement de test permet d’accéder aux données de test, tandis que le mode production permet d’accéder aux données réelles du compte. Chaque mode dispose de son propre ensemble de clés API, et les objets d’un mode ne sont pas accessibles dans l’autre. Par exemple, un [objet produit](https://docs.stripe.com/api/products/object.md) en environnement de test ne peut pas être utilisé pour un paiement en mode production. | Mode | Préfixe de clé | Objectif | | ---------------------------- | ---------------------- | ------------------------------------------------------------------------------------------ | | Environnement de test (test) | `pk_test_`, `sk_test_` | Développez et testez votre intégration en toute sécurité. Aucun débit réel n’est effectué. | | Mode production | `pk_live_`, `sk_live_` | Acceptez des paiements réels de clients réels. | > #### Accès aux clés API en mode production > > En mode production, vous ne pouvez révéler une clé API secrète ou limitée qu’une seule fois. Si vous la perdez, vous ne pouvez pas la récupérer depuis le Dashboard. Dans ce cas, effectuez une rotation ou supprimez-la, puis créez-en une nouvelle. | Type | Quand l’utiliser | Objets | Comment l’utiliser | Considérations | | ---------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | Environnements de test | Utilisez un environnement de test et les clés API test associées au fur et à mesure que vous développez votre intégration. Dans un bac à sable, les réseaux de cartes et les prestataires de services de paiement ne traitent pas les paiements. | Les appels à l’API renvoient des objets fictifs. Vous pouvez par exemple récupérer et utiliser des objets `account`, `payment`, `customer`, `charge`, `refund`, `transfer`, `balance` et `subscription` de test. | Utilisez des [cartes et des comptes de test](https://docs.stripe.com/testing.md#cards). Vous ne pouvez pas accepter de moyens de paiement réels ni utiliser de vrais comptes. | [Identity](https://docs.stripe.com/identity.md) n’effectue aucun contrôle de vérification. Les objets [Account](https://docs.stripe.com/api/accounts/object.md) de Connect ne renvoient pas de champs sensibles. | | Mode production | Utilisez le mode production et les clés API de production correspondantes au moment de lancer votre intégration et de commencer à accepter des fonds. En mode production, les paiements sont réellement traités par les réseaux de cartes et fournisseurs de services de paiement. | Les appels à l’API renvoient des objets réels. Vous pouvez par exemple récupérer et utiliser des objets `account`, `payment`, `customer`, `charge`, `refund`, `transfer`, `balance` et `subscription` réels. | Acceptez des cartes bancaires réelles et utilisez de vrais comptes client. Vous pouvez accepter des paiements, autorisations de paiement et captures réels à partir de cartes bancaires et de comptes. | Les litiges ont un flux plus nuancé et un [processus de test](https://docs.stripe.com/testing.md#disputes) plus simple. En outre, certains [moyens de paiement](https://docs.stripe.com/payments/payment-methods.md) ont un flux plus nuancé et nécessitent plus d’étapes. | ## Passer en mode production Lorsque vous êtes prêt à accepter de vrais paiements, remplacez vos clés d’API de l’environnement de test par vos clés du mode production. Il s’agit de la même page de clés dans le Dashboard : vous pouvez basculer entre **Test mode (mode test)** et **Live mode (mode production)** à l’aide du sélecteur situé dans le coin supérieur droit du Dashboard des développeurs de Stripe. 1. Dans le [Dashboard des développeurs](https://dashboard.stripe.com/apikeys), désactivez le **Test mode (mode test)** à l’aide du sélecteur situé dans le coin supérieur droit. La page affiche alors vos clés d’API du mode production. 1. Copiez votre **clé publiable en mode production** (commençant par `pk_mode production_`), puis remplacez la clé `pk_test_` dans votre code côté client. 1. Affichez et copiez votre **clé secrète du mode production**(commençant par `sk_live_`), puis remplacez la clé `sk_test_` dans votre code côté serveur. Conservez-la en lieu sûr : vous ne pouvez l’afficher qu’une seule fois. 1. Si vous utilisez des webhooks, mettez à jour l’URL de chaque endpoint de webhook et copiez le nouveau **secret de signature** dans la section [Webhooks](https://dashboard.stripe.com/webhooks) du Dashboard. > #### Compléter la checklist de mise en production > > Le changement de clés d’API n’est qu’une étape. Consultez la [checklist de mise en production](https://docs.stripe.com/get-started/checklist/go-live.md) complète pour vous assurer que votre intégration est prête pour la production. ## Clés API d’organisation Si vous avez plusieurs comptes professionnels Stripe dans une [organisation](https://docs.stripe.com/get-started/account/orgs.md), vous pouvez configurer une seule clé API au niveau de l’organisation. Les clés API au niveau de l’organisation offrent les fonctionnalités suivantes : - **Accéder à n’importe quel compte**. Utilisez les clés API de l’organisation pour accéder aux ressources de n’importe quel compte de l’organisation. - **Autorisations granulaires**. Limitez les clés API de l’organisation afin d’accorder des autorisations en lecture ou en écriture uniquement pour des ressources spécifiques. - **Gestion centralisée**. Créez et gérez les clés API de l’organisation dans l’onglet [Clés API](https://dashboard.stripe.com/org/api-keys/secret) du Dashboard de votre organisation. ### Comportement Les clés API d’organisation se comportent différemment des clés API au niveau du compte, notamment : - Elles n’ont pas de clé publiable. Traitez toutes les clés API d’organisation comme des clés secrètes. - Elles ont tous le même préfixe `sk_org`, quel que soit leur niveau d’autorisation. - Toutes les requêtes API effectuées à l’aide d’une clé API d’organisation doivent inclure l’en-tête `Stripe-Context` afin d’identifier le compte concerné. - Toutes les requêtes API effectuées à l’aide d’une clé d’API d’organisation doivent inclure l’en-tête `Stripe-Version` afin de garantir la cohérence et la prévisibilité des intégrations de votre organisation. ### Utiliser les clés API d’organisation Lorsque vous utilisez une clé API d’organisation, vous devez également : - Spécifiez une version de l’API en incluant un en-tête `Stripe-Version`. Lors de l’utilisation d’un [SDK Stripe](https://docs.stripe.com/sdks/set-version.md), le SDK définit automatiquement la version de l’API. - Identifiez le compte concerné par la requête API en incluant l’en-tête `Stripe-Context`. Par exemple, avec la structure d’organisation suivante : ``` Organization (org_6SD3oI0eSQemPzdmaGLJ5j6) ├── Platform account (acct_1R3fqDP6919yCiFv) | └── Connected account (acct_1032D82eZvKYlo2C) └── Standalone account (acct_1aTnTtAAB0hHJ26p) ``` Vous pouvez utiliser la clé API d’organisation pour accéder au solde du compte autonome. Vous pouvez également utiliser la même clé pour effectuer le même appel pour le compte connecté à la plateforme. ```curl curl https://api.stripe.com/v1/balance \ -u {{ORG_SECRET_KEY}}: \ -H "Stripe-Version: {{STRIPE_API_VERSION}}" \ -H "Stripe-Context: {{CONTEXT_ID}}" ``` Dans l’exemple de code précédent, remplacez `{{CONTEXT}}` par la valeur appropriée : - Pour le compte autonome, utilisez `acct_1aTnTtAAB0hHJ26p`. - Pour un compte connecté, utilisez un chemin qui identifie à la fois la plateforme et le compte connecté, en respectant le format `acct_1R3fqDP6919yCiFv/acct_1032D82eZvKYlo2C`. Vous devez spécifier le compte concerné à l’aide du contexte et de la version de l’API, et ce, dans toute requête d’API utilisant une clé d’organisation. Les organisations ne disposent pas de clés API publiables, car elles ne peuvent pas accepter des paiements. Vous pouvez utiliser la clé API de votre organisation pour créer un PaymentIntent pour n’importe quel compte de l’organisation, mais vous devez utiliser les clés publiables existantes propres à chaque compte pour les opérations côté client. ## Clés API gérées Certaines plateformes tierces, comme [Vercel](https://vercel.com/docs/integrations/ecommerce/stripe), peuvent créer et gérer des clés d’API en votre nom lorsque vous installez leur intégration. Ces clés sont appelées managed API keys et la plateforme les crée par programmation plutôt que manuellement dans le Dashboard. Les clés d’API gérées apparaissent aux côtés de vos autres clés dans l’onglet [clés API](https://dashboard.stripe.com/test/apikeys), avec le nom de la plateforme qui les gère. Le tableau suivant présente les différences entre les clés gérées et les clés non gérées. | | Clés non gérées | Clés gérées | | ------------------------------ | --------------------------------------------------------------------------- | --------------------------------------------------------------------------------------------------- | | Création de clés | Vous créez les clés dans le Dashboard | La plateforme crée les clés à l’aide de l’API | | Interaction avec l’utilisateur | Vous copiez les clés du Dashboard et vous les configurez dans la plateforme | La plateforme gère automatiquement la configuration des clés | | Remise des clés | Affichage dans le Dashboard | Livraison directement à la plateforme | | Gestion des clés | Vous contrôlez le renouvellement et l’expiration | La plateforme gère le cycle de vie des clés ; vous pouvez faire expirer les clés à tout moment | ### Révoquer l’accès à la clé géré Vous pouvez révoquer une clé API gérée à tout moment en effectuant l’une des actions suivantes : - **Faire expirer la clé :** dans l’onglet [Clés API](https://dashboard.stripe.com/apikeys), cliquez sur le menu de débordement (⋯) de la clé gérée et faites-la expirer. Cela révoque immédiatement l’accès de la plateforme sans supprimer l’intégration. - **Désinstaller l’intégration** : désinstallez l’application de la plateforme depuis votre compte Stripe. Lorsque vous désinstallez une application, vous pouvez choisir de faire expirer immédiatement les clés gérées ou de les conserver actives. ## Clés secrètes et limitées Utilisez le Dashboard pour créer, révéler, modifier, supprimer et effectuer la rotation des clés API secrètes et limitées. ### Créer une clé API Vous pouvez créer une clé API secrète ou une clé API limitée. Une [clé API limitée](https://docs.stripe.com/keys-best-practices.md#limit-access) n’autorise que le niveau d’accès que vous définissez. #### Pour créer une clé API secrète : 1. Dans l’onglet [Clés API](https://dashboard.stripe.com/test/apikeys), cliquez sur **Créer une clé secrète**. 1. Dans la boîte de dialogue, saisissez le code de vérification que Stripe vous envoie par e-mail ou par SMS. Si la boîte de dialogue ne se poursuit pas automatiquement, cliquez sur **Continuer**. 1. Saisissez un nom dans le champ **Nom de la clé**, puis cliquez sur **Créer**. 1. Cliquez sur la valeur de la clé pour la copier. 1. Enregistrez la valeur de la clé. Vous ne pourrez pas la récupérer plus tard. 1. Dans le champ **Ajouter une note**, saisissez l’emplacement où vous avez enregistré la clé, puis cliquez sur **Terminé**. #### Pour créer une clé API limitée : 1. Dans l’onglet [Clés API](https://dashboard.stripe.com/test/apikeys), effectuez l’une des actions suivantes : - Pour créer une nouvelle clé limitée, cliquez sur **Créer une clé limitée**. Par défaut, toutes les autorisations sont définies sur **Aucune**. - Pour cloner une clé existante, cliquez sur le menu de débordement (⋯), puis sélectionnez **Dupliquer la clé** pour la clé à cloner. La valeur par défaut de chaque autorisation correspond à celle de la clé clonée. 1. Dans le champ **Nom de la clé**, saisissez un nom. Si vous avez dupliqué une clé existante, le nom par défaut correspond à celui de la clé dupliquée. 1. Pour chaque ressource à laquelle la nouvelle clé doit accéder, sélectionnez l’autorisation appropriée : **Aucune**, **Lecture** ou **Écriture**. Si vous utilisez Connect, vous pouvez également définir l’autorisation permettant à cette clé d’accéder aux comptes connectés. 1. Cliquez sur **Créer une clé**. 1. Dans la boîte de dialogue, saisissez le code de vérification que Stripe vous envoie par e-mail ou par SMS. Si la boîte de dialogue ne se poursuit pas automatiquement, cliquez sur **Continuer**. 1. Cliquez sur la valeur de la clé pour la copier. 1. Enregistrez la valeur de la clé. Vous ne pourrez pas la récupérer plus tard. 1. Dans le champ **Ajouter une note**, saisissez l’emplacement où vous avez enregistré la clé, puis cliquez sur **Terminé**. ### Révéler une clé API Vous pouvez révéler une clé API secrète ou une clé API limitée dans un environnement de test ou en mode production. Pour des raisons de sécurité, Stripe n’affiche une clé API secrète qu’une seule fois en mode production. Conservez-la dans un emplacement sûr. Pour vous rappeler où elle est stockée, vous pouvez ajouter une note à la clé dans le Dashboard. Si vous perdez la clé, vous pouvez effectuer une rotation ou la supprimer, puis en créer une nouvelle. > #### Révéler les clés secrètes en mode production > > Une fois que vous avez créé une clé API secrète ou limitée en mode production, nous l’affichons avant que vous ne l’enregistriez. Vous devez copier la clé avant de l’enregistrer, car vous ne pourrez plus la copier ensuite. Vous pouvez uniquement révéler une clé secrète par défaut ou une clé générée par une révocation planifiée. #### Pour révéler une clé API secrète dans un environnement de test 1. Dans l’onglet [Clés API](https://dashboard.stripe.com/test/apikeys), dans la liste **Clés standard**, cliquez sur **Révéler la clé de test** sur la ligne **Clé secrète**. Vous pouvez révéler la clé API secrète autant de fois que nécessaire. 1. Cliquez sur la valeur de la clé pour la copier. 1. Enregistrez la valeur de la clé. 1. Cliquez sur **Masquer la clé de test**. #### Pour révéler une clé API secrète ou limitée en mode production 1. Dans l’onglet [Clés API](https://dashboard.stripe.com/apikeys) en mode production, dans la liste **Clés standard** ou **Clés limitées**, cliquez sur **Révéler la clé en mode production** pour la clé que vous souhaitez afficher. 1. Cliquez sur la valeur de la clé pour la copier. 1. Enregistrez la valeur de la clé. 1. Cliquez sur **Masquer la clé de test**. 1. Cliquez sur le menu de débordement (⋯), puis sélectionnez **Modifier la clé** pour la clé à laquelle vous souhaitez ajouter une note. 1. Dans le champ **Note**, saisissez l’emplacement où vous avez enregistré la clé, puis cliquez sur **Enregistrer**. > Les clés créées avant l’introduction de cette fonctionnalité par Stripe ne sont pas automatiquement masquées lorsqu’elles sont révélées. Vous devez les masquer manuellement en cliquant sur **Masquer la clé en mode production**. ### Limiter une clé API à certaines adresses IP Vous pouvez limiter l’utilisation d’une clé API secrète ou limitée à une plage d’adresses IP, ou à une ou plusieurs adresses IP spécifiques. Stripe recommande d’activer les restrictions d’adresse IP pour toutes les clés en mode production afin d’empêcher leur utilisation depuis des emplacements non autorisés. Utilisez des listes d’autorisation d’adresses IP distinctes pour des clés distinctes lorsque ceci est faisable (par exemple, pour faire la distinction entre les environnements de test et de production). Les adresses IP doivent utiliser le protocole IPv4, et vous pouvez spécifier toute plage CIDR valide. Par exemple, la plage `100.10.38.0 - 100.10.38.255` peut être définie comme `100.10.38.0/24`. Toutes les adresses IP de la plage doivent commencer par `100.10.38`. 1. Dans l’onglet [Clés API](https://dashboard.stripe.com/test/apikeys), dans la liste **Clés standard** ou **Clés limitées**, cliquez sur le menu de débordement (⋯) de la clé que vous souhaitez révéler. 1. Sélectionnez **Gérer les restrictions d’adresses IP** > **Limiter l’utilisation à un ensemble d’adresses IP**. 1. Effectuez l’une des actions suivantes : - Saisissez une ou plusieurs adresses IP dans le champ **Adresse IP.** - Pour une plage d’adresses IP, saisissez la première adresse de la plage dans le champ **Adresse IP** (en notation CIDR, Classless Inter-Domain Routing), puis indiquez la taille du préfixe réseau dans le champ **CIDR**. 1. Pour ajouter une autre adresse IP ou plage, cliquez sur **+ Ajouter**. 1. Cliquez sur **Enregistrer**. ### Modifier le nom ou la note d’une clé API 1. Dans l’onglet [Clés API](https://dashboard.stripe.com/test/apikeys), cliquez sur le menu de débordement (⋯) de la clé que vous souhaitez modifier. 1. Sélectionnez **Modifier la clé**. 1. Effectuez les actions suivantes : - Pour modifier le nom, saisissez un nouveau nom dans le champ **Nom de la clé**. - Pour modifier le texte de la note, saisissez le nouveau texte dans le champ **Note**. 1. Cliquez sur **Enregistrer**. ### Faire expirer une clé API Si vous faites expirer une clé API secrète ou une clé API restreinte, vous devez en créer une nouvelle et mettre à jour tout code qui utilise la clé expirée. Tout code utilisant la clé expirée ne peut plus effectuer d’appels à l’API. > Vous ne pouvez pas faire expirer une clé publique. 1. Dans l’onglet [Clés API](https://dashboard.stripe.com/test/apikeys), dans la liste **Standard keys (Clés standard)** ou **Restricted keys (clés limitées)**, cliquez sur le menu de débordement (⋯) de la clé que vous souhaitez faire expirer. 1. Sélectionnez **Expire key (faire expirer la clés)**. 1. Dans la boîte de dialogue, cliquez sur **Expire key (Faire expirer la clé)**. Si vous ne souhaitez plus faire expirer la clé, cliquez sur **Cancel (Annuler)**. ### Modifier une clé API La rotation d’une clé API la révoque et génère une clé de remplacement immédiatement utilisable. Vous pouvez également planifier la rotation d’une clé API à une date ultérieure. La clé de remplacement est nommée comme suit : - Le nom de la clé publiable de remplacement est toujours `Publishable key`. - Le nom de la clé secrète de remplacement est toujours `Secret key`. - Le nom de la clé limitée de remplacement est identique à celui de la clé faisant l’objet de la rotation. Vous pouvez renommer une clé API secrète ou limitée en modifiant la clé. Effectuer la rotation d’une clé API dans les scénarios suivants : - Si vous perdez une clé API secrète ou limitée en mode production et que vous ne pouvez pas la récupérer depuis le Dashboard. - Si une clé API secrète ou limitée est compromise et que vous devez la révoquer afin de bloquer toute requête API potentiellement malveillante. - Si un membre de l’équipe ayant accès à la clé quitte votre organisation ou change de rôle. - Si votre politique impose une rotation des clés à intervalles réguliers. #### Rotation d’une clé API 1. Dans l’onglet [Clés API](https://dashboard.stripe.com/test/apikeys), cliquez sur le menu de débordement (⋯) de la clé que vous souhaitez faire tourner. 1. Sélectionnez **Rotation de la clé**. 1. Sélectionnez une date d’expiration dans la liste déroulante **Expiration**. Si vous choisissez **Maintenant**, l’ancienne clé est supprimée. Si vous indiquez une heure, le temps restant avant l’expiration de la clé s’affiche sous le nom de la clé. 1. Cliquez sur **Rotation de la clé API**. 1. Cliquez sur la valeur de la clé pour la copier. 1. Enregistrez la valeur de la clé. Vous ne pourrez pas la récupérer plus tard. 1. Dans le champ **Ajouter une note**, saisissez l’emplacement où vous avez enregistré la clé, puis cliquez sur **Enregistrer** ou **Terminé**. ### Rétablir l’accès d’une clé API L’accès d’une clé API peut être limité si elle n’a pas été utilisée pour créer des transferts ou des versements, ou pour mettre à jour des destinations de versement, pendant plus de 180 jours. Une clé avec un accès limité ne peut pas être utilisée pour ces opérations. Vous pouvez rétablir l’accès afin de réutiliser la clé normalement ou effectuer une action bloquée. #### Pour rétablir l’accès d’une clé API 1. Dans l’onglet [Clés API](https://dashboard.stripe.com/test/apikeys), cliquez sur le menu de débordement (⋯) de la clé que vous souhaitez restaurer. 1. Sélectionnez **Restaurer l’accès**. 1. Cliquez sur **Restaurer**. ## Afficher les logs des requêtes API Pour [ouvrir les logs des requêtes API](https://docs.stripe.com/development/dashboard/request-logs.md), cliquez sur le menu de débordement (⋯) associé à une clé, puis sélectionnez **Afficher les logs des requêtes**. L’ouverture des logs vous redirige vers le Dashboard Stripe. ## See also - [Best practices for managing secret API keys](https://docs.stripe.com/keys-best-practices.md) - [Protéger vos clés API contre la compromission](https://support.stripe.com/questions/protecting-against-compromised-api-keys) - [Pourquoi ma clé API a-t-elle un accès limité ?](https://support.stripe.com/questions/why-does-my-api-key-have-limited-access)