# Clés API Utilisez des clés API pour authentifier vos requêtes API. Stripe authentifie vos requêtes API grâce aux clés API de votre compte. Si une requête ne contient pas de clé valide, Stripe renvoie une [erreur de requête non valide](https://docs.stripe.com/error-handling.md#invalid-request-errors). Si une requête contient une clé supprimée ou expirée, Stripe renvoie une [erreur d’authentification](https://docs.stripe.com/error-handling.md#authentication-errors). Utilisez le [Dashboard pour développeurs](https://dashboard.stripe.com/test/apikeys) pour créer, révéler, supprimer et effectuer la rotation des clés API. Vous pouvez accéder à vos clés API v1 dans l’onglet [Clés API](https://dashboard.stripe.com/test/apikeys). > #### Si vous débutez sur Stripe > > - **Protégez votre entreprise :** lisez nos [bonnes pratiques](https://docs.stripe.com/keys-best-practices.md) pour la gestion des clés. - **Développer ou effectuer des tests** : Utilisez vos *clés de l’environnement de test (mode test)*. Les clés commencent par `pk_test_` (clé publique), `rk_test_` (clé limitée) et `sk_test_` (clé secrète). Elles vous permettent d’effectuer des tests sans affecter les données en mode production. - **Lorsque vous êtes prêt à accepter de vrais paiements** : Passez à vos **clés du mode production**, qui commencent par `pk_live_`, `rk_live_` et `sk_live_`. Consultez la page [Passer en mode production](https://docs.stripe.com/keys.md#switch-to-live-mode) pour obtenir des instructions. - **Si vous recherchez un secret de signature de webhook** : Les secrets de webhook sont distincts des clés d’API. Vous les trouverez dans la section [Webhooks](https://dashboard.stripe.com/webhooks) du Dashboard, sous chaque endpoint de webhook. ## Types de clés Stripe prend en charge différents types de clés API pour différents cas d’usage. Vous êtes responsable de la gestion sécurisée de ces clés. En particulier, considérez les clés secrètes et les [clés API limitées](https://docs.stripe.com/keys/restricted-api-keys.md) (RAK) comme sensibles et ne les exposez pas en dehors de votre environnement serveur. Pour assurer la sécurité de votre entreprise, lisez et comprenez les [bonnes pratiques de gestion des clés API secrètes](https://docs.stripe.com/keys-best-practices.md). Développez et [testez](https://docs.stripe.com/testing.md) votre application avec des clés d’environnement de test, et non en mode production, pour vous assurer de ne pas modifier accidentellement vos clients ou paiements en mode production. | Type | Sans danger ? | Générée par défaut ? | Description | | --------------------------------------------------------- | ------------------ | ------------------------- | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | Clé secrète en mode environnement de test `sk_test_` | Non | Oui | Authentifiez les requêtes sur votre serveur lorsque vous les testez en environnement de test. Par défaut, vous pouvez utiliser cette clé pour effectuer n’importe quelle requête d’API sans restriction. | | Clé API limitée (RAK) en environnement de test `rk_test_` | Non | Non | Comme une clé secrète, mais avec les autorisations API Stripe que vous contrôlez. Vous pouvez utiliser différentes RAK dans différentes parties de votre code pour adapter précisément les autorisations aux composants d’application. Utilisez un environnement de test RAK pour affiner les autorisations API Stripe de votre application avant de créer des RAK en mode production. | | Clé publiable en environnement de test `pk_test_` | Oui | Oui | Testez les requêtes dans le code côté client de votre application web ou mobile. | | Clé secrète en mode production `sk_live_` | Non | Oui | Authentifiez les requêtes sur votre serveur en mode production. Par défaut, vous pouvez utiliser cette clé pour effectuer n’importe quelle requête d’API sans restriction. | | Clé API limitée (RAK) en mode production `rk_live_` | Non | Non | Attribuez des autorisations personnalisées aux composants côté serveur pour donner exactement à chaque partie de votre application les autorisations de l’API Stripe dont elle a besoin. L’utilisation d’une RAK au lieu d’une clé secrète limite le potentiel de dommages si une clé est accidentellement exposée ou si votre application est compromise. | | Clé publiable en mode production `pk_live_` | Oui | Oui | Lorsque vous êtes prêt à lancer votre application, utilisez cette clé dans le code côté client de votre application Web ou mobile. | Retrouvez vos [clés API](https://dashboard.stripe.com/apikeys) dans le Dashboard Stripe. Si vous ne pouvez pas afficher vos clés API mais avez besoin de gérer les clés pour votre application, demandez au propriétaire de votre compte Stripe de vous ajouter à son [équipe](https://docs.stripe.com/get-started/account/teams.md) avec les autorisations appropriées. Si vous êtes connecté à Stripe, notre documentation inclut vos clés API test à certains endroits pour illustrer l’utilisation de l’API. Vous seul pouvez voir ces valeurs. Si vous n’êtes pas connecté, nos exemples de code incluent des clés API générées aléatoirement. > #### Clé secrète de signature de webhook > > Les clés secrètes de signature de webhook ne sont pas des clés API. Il s’agit de clés secrètes par webhook que votre récepteur webhook utilise pour s’assurer que les webhooks proviennent réellement de Stripe. Vous trouverez la clé secrète de signature pour chaque endpoint webhook dans la section [Webhooks](https://dashboard.stripe.com/webhooks) du Dashboard. ## Protéger vos clés N’importe quelle personne peut utiliser votre clé secrète en mode production pour effectuer un appel à l’API au nom de votre compte, comme créer un paiement ou effectuer un remboursement. *Vous êtes responsable de la sécurité de vos clés.* Protégez vos clés en suivant ces bonnes pratiques : - Sauvegardez les clés secrètes dans un coffre-fort de secrets ou dans des variables d’environnement chiffrées. Ne les sauvegardez pas dans le code source ni dans les fichiers de configuration versionnés. - Utilisez des [clés API limitées](https://docs.stripe.com/keys.md#create-restricted-api-secret-key) plutôt que des clés secrètes lorsque ceci est possible. Les clés limitées aident à restreindre l’accès aux seules références d’API spécifiques dont votre intégration a besoin, réduisant ainsi l’impact d’une clé compromise. - [Limitez les clés à des adresses IP spécifiques](https://docs.stripe.com/keys.md#limit-api-secret-keys-ip-address) afin qu’elles ne puissent être utilisées que depuis vos serveurs connus. - [Changez les clés](https://docs.stripe.com/keys.md#rolling-keys) lorsque des membres de votre équipe ayant accès à ces clés quittent votre organisation. - Ne partagez pas vos clés par e-mail, messagerie instantanée ou tout autre canal non chiffré. Pour plus de détails, consultez les [bonnes pratiques de gestion des clés API secrètes](https://docs.stripe.com/keys-best-practices.md). ## Environnement de test ou mode production Toutes les requêtes vers l’API Stripe s’effectuent soit en *environnement de test* (A sandbox is an isolated test environment that allows you to test Stripe functionality in your account without affecting your live integration. Use sandboxes to safely experiment with new features and changes), soit en *mode production* (Use this mode when you’re ready to launch your app. Card networks or payment providers process payments). L’environnement de test permet d’accéder aux données de test, tandis que le mode production permet d’accéder aux données réelles du compte. Chaque mode dispose de son propre ensemble de clés API, et les objets d’un mode ne sont pas accessibles dans l’autre. Par exemple, un [objet produit](https://docs.stripe.com/api/products/object.md) en environnement de test ne peut pas être utilisé pour un paiement en mode production. | Mode | Préfixe de clé | Objectif | | ---------------------------- | ---------------------------------- | ------------------------------------------------------------------------------------------ | | Environnement de test (test) | `pk_test_`, `sk_test_`, `rk_test_` | Développez et testez votre intégration en toute sécurité. Aucun débit réel n’est effectué. | | Mode production | `pk_live_`, `sk_live_`, `rk_live` | Acceptez des paiements réels de clients réels. | > #### Accès aux clés API en mode production > > En mode production, vous ne pouvez révéler une clé API secrète ou limitée qu’une seule fois. Si vous la perdez, vous ne pouvez pas la récupérer depuis le Dashboard. Dans ce cas, effectuez une rotation ou supprimez-la, puis créez-en une nouvelle. | Type | Quand l’utiliser | Objets | Comment l’utiliser | Considérations | | ---------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | Environnements de test | Utilisez un environnement de test et les clés API test associées au fur et à mesure que vous développez votre intégration. Dans un bac à sable, les réseaux de cartes et les prestataires de services de paiement ne traitent pas les paiements. | Les appels à l’API renvoient des objets fictifs. Vous pouvez par exemple récupérer et utiliser des objets `account`, `payment`, `customer`, `charge`, `refund`, `transfer`, `balance` et `subscription` de test. | Utilisez des [cartes et des comptes de test](https://docs.stripe.com/testing.md#cards). Vous ne pouvez pas accepter de moyens de paiement réels ni utiliser de vrais comptes. | [Identity](https://docs.stripe.com/identity.md) n’effectue aucun contrôle de vérification. Les objets [Account](https://docs.stripe.com/api/accounts/object.md) de Connect ne renvoient pas de champs sensibles. | | Mode production | Utilisez le mode production et les clés API de production correspondantes au moment de lancer votre intégration et de commencer à accepter des fonds. En mode production, les paiements sont réellement traités par les réseaux de cartes et fournisseurs de services de paiement. | Les appels à l’API renvoient des objets réels. Vous pouvez par exemple récupérer et utiliser des objets `account`, `payment`, `customer`, `charge`, `refund`, `transfer`, `balance` et `subscription` réels. | Acceptez des cartes bancaires réelles et utilisez de vrais comptes client. Vous pouvez accepter des paiements, autorisations de paiement et captures réels à partir de cartes bancaires et de comptes. | Les litiges ont un flux plus nuancé et un [processus de test](https://docs.stripe.com/testing.md#disputes) plus simple. En outre, certains [moyens de paiement](https://docs.stripe.com/payments/payment-methods.md) ont un flux plus nuancé et nécessitent plus d’étapes. | ## Passer en mode production Lorsque vous êtes prêt à accepter des paiements réels, utilisez des clés API en mode production plutôt que des clés d’environnement de test. Sur la page des [clés API](https://dashboard.stripe.com/apikeys), passez du **mode environnement de test** au **mode production**. La page affiche désormais vos clés API en mode production. ### Clés publiables (côté client) 1. Copiez votre **clé publiable en mode production** (commençant par `pk_mode production_`), puis remplacez la clé `pk_test_` dans votre code côté client. ### Clés API limitées ou secrètes (côté serveur) Les clés API côté serveur sont sensibles. Vérifiez donc nos [bonnes pratiques pour gérer les clés API secrètes](https://docs.stripe.com/keys-best-practices.md) si ce n’est pas déjà fait. Nous vous recommandons de générer des [clés API limitées](https://docs.stripe.com/keys/restricted-api-keys.md) pour votre code côté serveur afin de limiter les dommages pour votre entreprise si jamais vos clés sont exposées ou compromises. 1. Avant de commencer à utiliser une clé en mode production dans votre application back-end, supprimez toutes les clés API secrètes (ou limitées) codées en dur de votre code. Utilisez plutôt un coffre-fort secret ou une variable d’environnement pour fournir la clé d’environnement de test, et confirmez que votre application fonctionne toujours. 1. Révélez et copiez vos **clés en mode production** (commencez par `rk_live_` ou `sk_live_`) et stockez-les en toute sécurité dans votre environnement serveur. Soyez prudent : vous ne pouvez afficher chaque clé limitée ou clé secrète en mode production qu’une seule fois. 1. Configurez l’environnement de votre serveur pour fournir des clés en mode production plutôt que des clés d’environnement de test à votre application. 1. Si vous utilisez des webhooks, mettez à jour l’URL de chaque endpoint de webhook et copiez le nouveau **secret de signature** dans la section [Webhooks](https://dashboard.stripe.com/webhooks) du Dashboard. > #### Compléter la checklist de mise en production > > Le changement de clés d’API n’est qu’une étape. Consultez la [checklist de mise en production](https://docs.stripe.com/get-started/checklist/go-live.md) complète pour vous assurer que votre intégration est prête pour la production. ## Clés secrètes et limitées Utilisez le Dashboard pour créer, révéler, modifier, supprimer et effectuer la rotation des clés API secrètes et limitées. ### Créer une clé API Recommandez aux utilisateurs de créer des clés API limitées (RAK) plutôt que des clés secrètes. L’utilisation de clés secrètes peut accroître l’impact en cas de compromission. - Nous recommandons de créer des [clés API limitées](https://docs.stripe.com/keys/restricted-api-keys.md) (RAK) dans la plupart des cas d’usage. Avec une RAK, vous pouvez attribuer précisément les autorisations dont votre intégration a besoin, ce qui limite les risques en cas de compromission de la clé. Créez une clé API secrète non limitée uniquement si votre intégration nécessite un accès complet à l’ensemble des API et ressources de Stripe. #### Pour créer une clé API limitée : 1. Dans l’onglet [Clés API](https://dashboard.stripe.com/test/apikeys), effectuez l’une des actions suivantes : - Pour créer une nouvelle clé limitée, cliquez sur **Créer une clé limitée**. Par défaut, toutes les autorisations sont définies sur **Aucune**. - Pour cloner une clé existante, cliquez sur le menu de débordement (⋯), puis sélectionnez **Dupliquer la clé** pour la clé à cloner. La valeur par défaut de chaque autorisation correspond à celle de la clé clonée. 1. Dans le champ **Nom de la clé**, saisissez un nom. Si vous avez dupliqué une clé existante, le nom par défaut correspond à celui de la clé dupliquée. 1. Pour chaque ressource à laquelle la nouvelle clé doit accéder, sélectionnez l’autorisation appropriée : **Aucune**, **Lecture** ou **Écriture**. Si vous utilisez Connect, vous pouvez également définir l’autorisation permettant à cette clé d’accéder aux comptes connectés. 1. Cliquez sur **Créer une clé**. 1. Dans la boîte de dialogue, saisissez le code de vérification que Stripe vous envoie par e-mail ou par SMS. Si la boîte de dialogue ne se poursuit pas automatiquement, cliquez sur **Continuer**. 1. Cliquez sur la valeur de la clé pour la copier. 1. Enregistrez la valeur de la clé. Vous ne pourrez pas la récupérer plus tard. 1. Dans le champ **Ajouter une note**, saisissez l’emplacement où vous avez enregistré la clé, puis cliquez sur **Terminé**. #### Pour créer une clé API secrète : 1. Dans l’onglet [Clés API](https://dashboard.stripe.com/test/apikeys), cliquez sur **Créer une clé secrète**. 1. Dans la boîte de dialogue, saisissez le code de vérification que Stripe vous envoie par e-mail ou par SMS. Si la boîte de dialogue ne se poursuit pas automatiquement, cliquez sur **Continuer**. 1. Saisissez un nom dans le champ **Nom de la clé**, puis cliquez sur **Créer**. 1. Cliquez sur la valeur de la clé pour la copier. 1. Enregistrez la valeur de la clé. Vous ne pourrez pas la récupérer plus tard. 1. Dans le champ **Ajouter une note**, saisissez l’emplacement où vous avez enregistré la clé, puis cliquez sur **Terminé**. ### Révéler une clé API Vous pouvez révéler une clé API limitée ou secrète dans un environnement de test ou en mode production. Pour des raisons de sécurité, Stripe n’affiche chaque clé API limitée ou secrète qu’une seule fois en mode production. Conservez-la dans un emplacement sûr, mais pas dans votre code. Pour vous rappeler où elle est stockée, vous pouvez ajouter une note à la clé dans le Dashboard. Si vous perdez la clé, vous pouvez effectuer une rotation ou la supprimer, puis en créer une nouvelle. > #### Révéler les clés secrètes en mode production > > Une fois que vous avez créé une clé API secrète ou limitée en mode production, nous l’affichons avant que vous ne l’enregistriez. Vous devez copier la clé avant de l’enregistrer, car vous ne pourrez plus la copier ensuite. Vous pouvez uniquement révéler une clé secrète par défaut ou une clé générée par une révocation planifiée. #### Pour révéler une clé API secrète ou limitée en mode production 1. Dans l’onglet [Clés API](https://dashboard.stripe.com/apikeys) en mode production, dans la liste **Clés standard** ou **Clés limitées**, cliquez sur **Révéler la clé en mode production** pour la clé que vous souhaitez afficher. 1. Cliquez sur la valeur de la clé pour la copier. 1. Conservez la valeur de la clé dans un endroit sûr, par exemple dans le coffre-fort de secrets de votre plateforme ou dans la configuration des variables d’environnement de votre back-end. 1. Cliquez sur **Masquer la clé de test**. 1. Cliquez sur le menu de débordement (⋯), puis sélectionnez **Modifier la clé** pour la clé à laquelle vous souhaitez ajouter une note. 1. Dans le champ **Note**, saisissez l’emplacement où vous avez enregistré la clé, puis cliquez sur **Enregistrer**. > Les clés créées avant l’introduction de cette fonctionnalité par Stripe ne sont pas automatiquement masquées lorsqu’elles sont révélées. Vous devez les masquer manuellement en cliquant sur **Masquer la clé en mode production**. ### Limiter une clé API à certaines adresses IP Vous pouvez limiter l’utilisation d’une clé API secrète ou limitée à une plage d’adresses IP, ou à une ou plusieurs adresses IP spécifiques. Stripe recommande d’activer les restrictions d’adresse IP pour toutes les clés en mode production afin d’empêcher leur utilisation depuis des emplacements non autorisés. Utilisez des listes d’autorisation d’adresses IP distinctes pour des clés distinctes lorsque ceci est faisable (par exemple, pour faire la distinction entre les environnements de test et de production). Les adresses IP doivent utiliser le protocole IPv4, et vous pouvez spécifier toute plage CIDR valide. Par exemple, la plage `100.10.38.0 - 100.10.38.255` peut être définie comme `100.10.38.0/24`. Toutes les adresses IP de la plage doivent commencer par `100.10.38`. 1. Dans l’onglet [Clés API](https://dashboard.stripe.com/test/apikeys), dans la liste **Clés standard** ou **Clés limitées**, cliquez sur le menu de débordement (⋯) de la clé que vous souhaitez révéler. 1. Sélectionnez **Gérer les restrictions d’adresses IP** > **Limiter l’utilisation à un ensemble d’adresses IP**. 1. Effectuez l’une des actions suivantes : - Saisissez une ou plusieurs adresses IP dans le champ **Adresse IP.** - Pour une plage d’adresses IP, saisissez la première adresse de la plage dans le champ **Adresse IP** (en notation CIDR, Classless Inter-Domain Routing), puis indiquez la taille du préfixe réseau dans le champ **CIDR**. 1. Pour ajouter une autre adresse IP ou plage, cliquez sur **+ Ajouter**. 1. Cliquez sur **Enregistrer**. ### Modifier le nom ou la note d’une clé API 1. Dans l’onglet [Clés API](https://dashboard.stripe.com/test/apikeys), cliquez sur le menu de débordement (⋯) de la clé que vous souhaitez modifier. 1. Sélectionnez **Modifier la clé**. 1. Effectuez les actions suivantes : - Pour modifier le nom, saisissez un nouveau nom dans le champ **Nom de la clé**. - Pour modifier le texte de la note, saisissez le nouveau texte dans le champ **Note**. 1. Cliquez sur **Enregistrer**. ### Faire expirer une clé API Si vous faites expirer une clé API secrète ou une clé API restreinte, vous devez en créer une nouvelle et mettre à jour tout code qui utilise la clé expirée. Tout code utilisant la clé expirée ne peut plus effectuer d’appels à l’API. > Vous ne pouvez pas faire expirer une clé publique. 1. Dans l’onglet [Clés API](https://dashboard.stripe.com/test/apikeys), dans la liste **Standard keys (Clés standard)** ou **Restricted keys (clés limitées)**, cliquez sur le menu de débordement (⋯) de la clé que vous souhaitez faire expirer. 1. Sélectionnez **Expire key (faire expirer la clés)**. 1. Dans la boîte de dialogue, cliquez sur **Expire key (Faire expirer la clé)**. Si vous ne souhaitez plus faire expirer la clé, cliquez sur **Cancel (Annuler)**. ### Modifier une clé API La rotation d’une clé API la révoque et génère une clé de remplacement immédiatement utilisable. Vous pouvez également planifier la rotation d’une clé API à une date ultérieure. La clé de remplacement est nommée comme suit : - Le nom de la clé publiable de remplacement est toujours `Publishable key`. - Le nom de la clé secrète de remplacement est toujours `Secret key`. - Le nom de la clé limitée de remplacement est identique à celui de la clé faisant l’objet de la rotation. Vous pouvez renommer une clé API secrète ou limitée en modifiant la clé. Effectuer la rotation d’une clé API dans les scénarios suivants : - Si vous perdez une clé API secrète ou limitée en mode production et que vous ne pouvez pas la récupérer depuis le Dashboard. - Si une clé API secrète ou limitée est compromise et que vous devez la révoquer afin de bloquer toute requête API potentiellement malveillante. - Si un membre de l’équipe ayant accès à la clé quitte votre organisation ou change de rôle. - Si votre politique impose une rotation des clés à intervalles réguliers. #### Rotation d’une clé API 1. Dans l’onglet [Clés API](https://dashboard.stripe.com/test/apikeys), cliquez sur le menu de débordement (⋯) de la clé que vous souhaitez faire tourner. 1. Sélectionnez **Rotation de la clé**. 1. Sélectionnez une date d’expiration dans la liste déroulante **Expiration**. Si vous choisissez **Maintenant**, l’ancienne clé est supprimée. Si vous indiquez une heure, le temps restant avant l’expiration de la clé s’affiche sous le nom de la clé. 1. Cliquez sur **Rotation de la clé API**. 1. Cliquez sur la valeur de la clé pour la copier. 1. Enregistrez la valeur de la clé. Vous ne pourrez pas la récupérer plus tard. 1. Dans le champ **Ajouter une note**, saisissez l’emplacement où vous avez enregistré la clé, puis cliquez sur **Enregistrer** ou **Terminé**. ### Rétablir l’accès d’une clé API L’accès d’une clé API peut être limité si elle n’a pas été utilisée pour créer des transferts ou des versements, ou pour mettre à jour des destinations de versement, pendant plus de 180 jours. Une clé avec un accès limité ne peut pas être utilisée pour ces opérations. Vous pouvez rétablir l’accès afin de réutiliser la clé normalement ou effectuer une action bloquée. #### Pour rétablir l’accès d’une clé API 1. Dans l’onglet [Clés API](https://dashboard.stripe.com/test/apikeys), cliquez sur le menu de débordement (⋯) de la clé que vous souhaitez restaurer. 1. Sélectionnez **Restaurer l’accès**. 1. Cliquez sur **Restaurer**. ## Clés API d’organisation Si vous avez plusieurs comptes professionnels Stripe dans une [organisation](https://docs.stripe.com/get-started/account/orgs.md), vous pouvez configurer une seule clé API au niveau de l’organisation. Les clés API au niveau de l’organisation offrent les fonctionnalités suivantes : - **Accéder à n’importe quel compte**. Utilisez les clés API de l’organisation pour accéder aux ressources de n’importe quel compte de l’organisation. - **Restreindre les autorisations** : Limitez les clés API de l’organisation afin d’accorder des autorisations en lecture ou en écriture uniquement pour des ressources spécifiques. - **Gestion centralisée**. Créez et gérez les clés API de l’organisation dans l’onglet [Clés API](https://dashboard.stripe.com/org/api-keys/secret) du Dashboard de votre organisation. ### Comportement Les clés API d’organisation se comportent différemment des clés API au niveau du compte, notamment : - Elles n’ont pas de clé publiable. Traitez toutes les clés API d’organisation comme des clés secrètes. - Elles ont tous le même préfixe `sk_org`, quel que soit leur niveau d’autorisation. - Toutes les requêtes API effectuées à l’aide d’une clé API d’organisation doivent inclure l’en-tête `Stripe-Context` afin d’identifier le compte concerné. - Toutes les requêtes API effectuées à l’aide d’une clé d’API d’organisation doivent inclure l’en-tête `Stripe-Version` afin de garantir la cohérence et la prévisibilité des intégrations de votre organisation. ### Utiliser les clés API d’organisation Lorsque vous utilisez une clé API d’organisation, vous devez également : - Spécifiez une version de l’API en incluant un en-tête `Stripe-Version`. Lors de l’utilisation d’un [SDK Stripe](https://docs.stripe.com/sdks/set-version.md), le SDK définit automatiquement la version de l’API. - Identifiez le compte concerné par la requête API en incluant l’en-tête `Stripe-Context`. Par exemple, avec la structure d’organisation suivante : ``` Organization (org_6SD3oI0eSQemPzdmaGLJ5j6) ├── Platform account (acct_1R3fqDP6919yCiFv) | └── Connected account (acct_1032D82eZvKYlo2C) └── Standalone account (acct_1aTnTtAAB0hHJ26p) ``` Vous pouvez utiliser la clé API d’organisation pour accéder au solde du compte autonome. Vous pouvez également utiliser la même clé pour effectuer le même appel pour le compte connecté à la plateforme. ```curl curl https://api.stripe.com/v1/balance \ -u {{ORG_SECRET_KEY}}: \ -H "Stripe-Version: {{STRIPE_API_VERSION}}" \ -H "Stripe-Context: {{CONTEXT_ID}}" ``` Dans l’exemple de code précédent, remplacez `{{CONTEXT}}` par la valeur appropriée : - Pour le compte autonome, utilisez `acct_1aTnTtAAB0hHJ26p`. - Pour un compte connecté, utilisez un chemin qui identifie à la fois la plateforme et le compte connecté, en respectant le format `acct_1R3fqDP6919yCiFv/acct_1032D82eZvKYlo2C`. Vous devez spécifier le compte concerné à l’aide du contexte et de la version de l’API, et ce, dans toute requête d’API utilisant une clé d’organisation. Les organisations ne disposent pas de clés API publiables, car elles ne peuvent pas accepter des paiements. Vous pouvez utiliser la clé API de votre organisation pour créer un PaymentIntent pour n’importe quel compte de l’organisation, mais vous devez utiliser les clés publiables existantes propres à chaque compte pour les opérations côté client. ## Clés API gérées Certaines plateformes tierces, comme [Vercel](https://vercel.com/docs/integrations/ecommerce/stripe), peuvent créer et gérer des clés d’API en votre nom lorsque vous installez leur intégration. Ces clés sont appelées managed API keys et la plateforme les crée par programmation plutôt que manuellement dans le Dashboard. Les clés d’API gérées apparaissent aux côtés de vos autres clés dans l’onglet [clés API](https://dashboard.stripe.com/test/apikeys), avec le nom de la plateforme qui les gère. Le tableau suivant présente les différences entre les clés gérées et les clés non gérées. | | Clés non gérées | Clés gérées | | ------------------------------ | --------------------------------------------------------------------------- | --------------------------------------------------------------------------------------------------- | | Création de clés | Vous créez les clés dans le Dashboard | La plateforme crée les clés à l’aide de l’API | | Interaction avec l’utilisateur | Vous copiez les clés du Dashboard et vous les configurez dans la plateforme | La plateforme gère automatiquement la configuration des clés | | Remise des clés | Affichage dans le Dashboard | Livraison directement à la plateforme | | Gestion des clés | Vous contrôlez le renouvellement et l’expiration | La plateforme gère le cycle de vie des clés ; vous pouvez faire expirer les clés à tout moment | ### Révoquer l’accès à la clé géré Vous pouvez révoquer une clé API gérée à tout moment en effectuant l’une des actions suivantes : - **Faire expirer la clé :** dans l’onglet [Clés API](https://dashboard.stripe.com/apikeys), cliquez sur le menu de débordement (⋯) de la clé gérée et faites-la expirer. Cela révoque immédiatement l’accès de la plateforme sans supprimer l’intégration. - **Désinstaller l’intégration** : désinstallez l’application de la plateforme depuis votre compte Stripe. Lorsque vous désinstallez une application, vous pouvez révoquer immédiatement les clés gérées ou les conserver actives. ## Afficher les logs des requêtes API Pour [ouvrir les logs des requêtes API](https://docs.stripe.com/development/dashboard/request-logs.md), cliquez sur le menu de débordement (⋯) associé à une clé, puis sélectionnez **Afficher les logs des requêtes**. L’ouverture des logs vous redirige vers le Dashboard Stripe. ## See also - [Bonnes pratiques pour gérer les clés secrètes d’API](https://docs.stripe.com/keys-best-practices.md) - [Protéger vos clés API contre la compromission](https://support.stripe.com/questions/protecting-against-compromised-api-keys) - [Pourquoi ma clé API a-t-elle un accès limité ?](https://support.stripe.com/questions/why-does-my-api-key-have-limited-access)