Clés API
Tous les endpoints v1 exigent une clé API dans l’en-têtex-api-key.
Créer des clés API
- Connectez-vous au dashboard AFKCrypto
- Ouvrez la section API Keys
- Cliquez sur « Generate API Key »
- Donnez un nom descriptif à la clé
- Optionnel : définissez une expiration (7 jours, 30 jours, 90 jours, 180 jours ou 1 an)
- Copiez la clé immédiatement : elle ne sera plus affichée
Format de clé
- Prefix : identifiant de 4 caractères pour recherche rapide
- Random : chaîne aléatoire de 32 caractères sécurisée cryptographiquement
Utiliser les clés API
Incluez la clé dans chaque requête via l’en-têtex-api-key :
Bonnes pratiques de sécurité
- Ne versionnez jamais vos clés : utilisez des variables d’environnement
- Faites tourner régulièrement vos clés : ajoutez une expiration pour les accès temporaires
- Séparez les clés par environnement : dev, staging, production
- Révoquez immédiatement les clés inutilisées : réduisez la surface d’attaque
- Stockez-les en toute sécurité : gestionnaire de secrets (ex. AWS Secrets Manager, HashiCorp Vault)
Expiration de clé
Les clés API peuvent expirer après une période définie :- Jamais (par défaut) : valable jusqu’à révocation
- 7 jours : tests/démos de courte durée
- 30 jours : accès prestataires ou essais
- 90 jours : rotation trimestrielle recommandée
- 180 jours : rotation semestrielle
- 1 an : rotation annuelle pour intégrations stables
- Les requêtes avec cette clé renvoient HTTP 401
UNAUTHORIZED - La clé reste visible dans le dashboard pour audit
- Créez une nouvelle clé pour la remplacer
- Le dashboard affiche « Expired » ou « Expiring soon » (≤ 7 jours)
- Configurez des alertes pour éviter les interruptions
Limites de clés
- Nombre maximal de clés actives : 10 par utilisateur
- Limitation de débit : voir Rate limiting
- Révoquez les clés inutilisées pour rester sous la limite
Révoquer des clés API
Révoquez une clé immédiatement depuis le dashboard :- Ouvrez API Keys
- Recherchez la clé à révoquer
- Cliquez sur « Revoke Key »
- Confirmez l’action