Migrer un plugin vers Stripe Apps ou Stripe Connect
Découvez vos options de migration et décidez de la manière de migrer votre plugin.
Utilisez ce guide pour migrer votre intégration tierce qui demande aux utilisateurs de Stripe de s’authentifier avec leur clé API secrète (également appelée plugin) vers Stripe Apps ou Stripe Connect.
Auparavant, Stripe autorisait les plugins à demander les clés API standard d’un utilisateur pour s’intégrer à leurs produits. À partir du 30 septembre 2024, tous les développeurs de plugins doivent utiliser des méthodes d’authentification sécurisées (OAuth 2.0, clés API limitées, Stripe Connect) pour protéger les utilisateurs contre la fraude. Tous les développeurs de plugins, nouveaux et existants, doivent passer à l’une de ces méthodes d’autorisation sécurisées prises en charge par Stripe.
Si votre intégration utilise déjà Stripe Apps ou Stripe Connect, cela ne s’applique pas à vous ou à vos utilisateurs.
Choisir votre chemin de migration
Stripe propose plusieurs solutions pour les développeurs qui migrent des plugins. Découvrez chaque solution :
| Type d’intégration | Adapté pour | Conçu pour |
|---|---|---|
| Stripe Connect | Convient le mieux pour les intégrations correspondant à des plateformes centralisées ou des places de marché | Conçu pour les intégrations relatives à l’inscription des nouveaux marchands, à l’intégration des paiements et à la gestion des mouvements de fonds |
| Stripe Apps | Convient le mieux pour les intégrations qui veulent intégrer Stripe dans des outils et services tiers | Conçu pour ajouter des fonctionnalités améliorées pour les marchands Stripe existants |
| Mise en place manuelle de clés API limitées et de webhooks | Uniquement disponible si votre intégration nécessite des fonctionnalités personnalisées qui ne sont pas prises en charge par Stripe Connect ou Stripe Apps | Conçu pour les utilisateurs qui doivent chaque fois créer manuellement des clés d’API limitées et des webhooks |
Liste de contrôle pour la prise de décision avant la migration
Examinez la liste de contrôle suivante pour vous aider à décider du meilleur chemin de migration pour votre intégration et vos utilisateurs :
L’inscription des utilisateurs qui n’ont pas forcément de compte Stripe existant nécessite souvent la création d’un compte Stripe pour la première fois, simplement pour utiliser votre service. Si tel est le cas, envisagez d’utiliser Stripe Connect, car le flux d’inscription permet aux utilisateurs de créer des comptes Stripe directement pendant l’inscription.
Si vous rendez votre intégration disponible pour d’autres plateformes, envisagez d’utiliser Stripe Apps. Vous pouvez installer Stripe Apps sur la plupart des comptes Stripe, indépendamment de leur connexion à d’autres plateformes. Cela vous permet de rendre votre intégration disponible à une base plus large.
Si vous disposez d’un service centralisé où vos utilisateurs ont leurs propres comptes, envisagez d’utiliser Stripe Connect ou Stripe Apps, et utilisez l’authentification de la plateforme ou OAuth 2.0. Grâce à Stripe Connect ou Stripe Apps, vos utilisateurs n’ont pas besoin de copier et coller les clés API, ce qui améliore considérablement la sécurité globale et rationalise l’inscription des utilisateurs.
Si vos clients hébergent eux-mêmes votre intégration, la solution la mieux adaptée est probablement Stripe Apps, qui utilise la méthode d’authentification par clé API limitée. Elle ne vous oblige pas à stocker votre clé secrète sur des serveurs non fiables, ce qui est nécessaire pour Stripe Connect ou Stripe Apps avec l’authentification de la plateforme.
OAuth 2.0 est une possibilité, mais elle nécessite un travail supplémentaire important, notamment l’hébergement d’un serveur back-end central où vos utilisateurs créent des comptes, stockent les URL de leur back-end auto-hébergé et transmettent par proxy les tokens OAuth à ce back-end.
Si vous recevez des événements webhook sur vos propres endpoints, envisagez Stripe Connect ou Stripe Apps, en utilisant la plateforme ou les méthodes d’authentification OAuth 2.0 pour mettre en place une configuration webhook centrale. Ce faisant, vous pouvez recevoir des événements webhook pour tous les utilisateurs de votre compte connecté.
Si vos utilisateurs reçoivent des endpoints de webhook à leurs propres endpoints uniques, indiquez-leur comment configurer ces endpoints manuellement, ce qui est courant avec les back-ends auto-hébergés. Si vous avez un cas d’usage particulier qui nécessite la gestion de endpoints de webhook personnalisés pour vos utilisateurs via l’autorisation API
webhook_, contactez le Service Support de Stripe.write L’utilisation des comptes connectés d’autres plateformes est peu courante, mais dans certains cas, les plugins sont conçus pour utiliser l’accès transitif de la clé API secrète d’une plateforme pour effectuer des appels à l’API au nom des comptes connectés de la plateforme. Actuellement, la seule option prise en charge consiste à demander à vos utilisateurs de créer manuellement des clés d’API limitées. Lors de la création de la clé, l’utilisateur doit cocher les cases appropriées pour accorder des autorisations sur ses comptes connectés.
Migration vers Stripe Connect
Stripe Connect est une solution pour les plateformes centralisées. Pour utiliser Connect, vous devez héberger un service Web pour stocker en toute sécurité votre clé API et gérer les comptes connectés.
L’utilisation de la clé API de votre plateforme nécessite que toutes les requêtes API à Stripe proviennent de vos serveurs, utilisent votre clé API pour l’authentification et utilisent l’en-tête Stripe-Account pour indiquer le compte connecté au nom duquel vous agissez. Au lieu d’OAuth 2.0, utilisez l’API /v1/accounts pour récupérer en toute sécurité les tokens d’accès pour chaque compte connecté. Vos serveurs ou les serveurs de vos clients peuvent alors effectuer des requêtes API à Stripe en utilisant ces tokens.
Les entreprises Stripe ne peuvent être connectées qu’à une seule plateforme Connect à la fois. Connect vous permet d’inscrire de nouvelles entreprises directement sur votre plateforme, mais les entreprises disposant déjà d’un compte Stripe et souhaitant utiliser votre plateforme doivent créer de nouveaux comptes, ce qui peut entraîner un surcroît de travail pour vos utilisateurs.
Pour en savoir plus sur la migration d’un plugin vers Connect, consultez la rubrique Créer une intégration à destination de plusieurs bénéficiaires avec Connect.
Migrer vers Stripe Apps
Stripe Apps est une plateforme permettant aux développeurs de créer des intégrations qui étendent ou améliorent les fonctionnalités de Stripe pour les entreprises et leurs utilisateurs. Ces intégrations peuvent directement personnaliser les comportements de Stripe ou connecter des outils et services tiers à Stripe.
Stripe Apps offre également un cadre d’autorisation pour accéder en toute sécurité à Stripe au nom des entreprises. En outre, Stripe Apps comprend des fonctionnalités telles que des extensions d’interface utilisateur, qui peuvent améliorer les fonctionnalités et la valeur de votre plugin.
Stripe Apps propose trois méthodes d’authentification pour répondre à différents cas d’usage :
- Plateforme : conçue pour les intégrations natives de Stripe qui fonctionnent comme un service centralisé, tel qu’une plateforme SaaS. Les requêtes API nécessitent la clé API du développeur et l’en-tête du compte Stripe.
- OAuth 2.0 : utilise le protocole OAuth 2.0, standard du secteur, pour l’authentification des utilisateurs de service à service. Cette méthode est idéale pour les intégrations utilisant déjà OAuth (anciennement connu sous le nom de Connect Extensions), et offre des avantages supplémentaires tels qu’une gestion améliorée, une visibilité accrue, des analyses, etc. par le biais de la plateforme Stripe Apps.
- Clés API limitées (RAK) : génère automatiquement des clés API limitées pour chaque application installée par un utilisateur. Chaque application obtient une clé API unique avec uniquement les autorisations dont elle a besoin. Les utilisateurs doivent tout de même copier et coller manuellement cette clé dans votre intégration. Bien que cette méthode renforce la sécurité, elle ajoute des étapes supplémentaires pour l’inscription des utilisateurs.
Comparer les types d’authentification pour Stripe Apps
Avant de migrer votre plugin vers Stripe Apps, comparez les trois méthodes d’authentification :
| Authentification | Avantages | Compromis |
|---|---|---|
| Plateforme default |
|
|
| OAuth 2.0 recommended |
|
|
| RAK |
|
|
Nous recommandons l’authentification par plateforme ou OAuth 2.0, car elles offrent une meilleure sécurité et un processus d’inscription simplifié pour vos utilisateurs.
Pour des instructions étape par étape sur la migration des plugins vers Stripe Apps, consultez la rubrique :
Migration vers la configuration manuelle des clés d’API limitées et des webhooks
Si Stripe Connect ou Stripe Apps ne répondent pas à vos besoins, les utilisateurs peuvent configurer manuellement leur intégration avec votre service.
Pour migrer et vous conformer aux exigences de sécurité de Stripe, vous devez :
- Documenter la configuration : fournissez des instructions aux entreprises pour configurer une clé API limitée aux autorisations nécessaires.
- Valider les clés API : assurez-vous que les entreprises vous donnent des clés API limitées dont le préfixe commencent par
rk_, et nonsk_. - (Facultatif) Documenter la configuration du webhook : guidez les entreprises sur la configuration des endpoints de webhook pour envoyer les données à la bonne adresse.
Remarque
Cette méthode d’authentification introduit des étapes d’inscription manuelles pour les entreprises et ne bénéficie pas des avantages de Stripe Connect et Stripe Apps.