# Jetons à portée limitée : bonnes pratiques

impact.com vous permet de créer *des jetons à périmètre défini*: des identifiants API avec des autorisations granulaires, qui accordent l’accès à des points de terminaison API spécifiques. En savoir plus sur [la sécurisation de vos jetons](https://help.impact.com/other/fr/readme/api-access-tokens-and-changelog/keep-your-access-tokens-secure).

<div data-with-frame="true"><figure><img src="https://2947925681-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FhRN1rcrim887TwHLBjac%2Fuploads%2Fgit-blob-fe3efc74bca33b0b652161e5998440268b8aa50d%2F5b0a9e9151e8fbc234e52fbb902b41b711de77f2760d139f813dfbfff1584b99.png?alt=media" alt=""><figcaption></figcaption></figure></div>

#### Avantages des jetons à périmètre défini

<details>

<summary>Sécurité renforcée</summary>

Les jetons à périmètre défini n’autorisent l’accès qu’à ce qui est nécessaire, réduisant ainsi le risque en cas de compromission des identifiants.

</details>

<details>

<summary>Meilleur contrôle des accès</summary>

Définissez des autorisations spécifiques pour ce que chaque jeton peut faire avec des API précises.

</details>

<details>

<summary>Simplifier la gestion</summary>

Rationalisez la supervision des jetons, surtout lorsque vous travaillez avec plusieurs équipes ou des partenaires externes.

</details>

<details>

<summary>Surveillance pertinente</summary>

Obtenez une visibilité sur l’utilisation des jetons afin de mieux comprendre le trafic API et de gérer efficacement les limites de débit.

</details>

<details>

<summary>Gestion des jetons améliorée</summary>

Créez, gérez et révoquez facilement des jetons sans perturber les autres intégrations.

</details>

#### Bonnes pratiques pour créer des jetons à périmètre défini

Suivez ces bonnes pratiques pour garantir la sécurité, la clarté et une gestion efficace lors de la création de jetons à périmètre défini :

<details>

<summary>Choisissez uniquement les API et les méthodes dont vous avez besoin</summary>

Définissez les périmètres en sélectionnant uniquement les API et les méthodes HTTP spécifiques, comme GET, POST, PUT, DELETE, dont votre intégration a réellement besoin. Si votre intégration ne doit que récupérer des données, accordez l’accès à l’API en utilisant uniquement la méthode GET.

</details>

<details>

<summary>Appliquez le principe du moindre privilège</summary>

Commencez toujours avec le niveau d’accès minimal nécessaire et n’ajoutez d’autres autorisations que si c’est absolument nécessaire. Évitez d’activer les méthodes POST, PUT ou DELETE, sauf si votre intégration les exige explicitement.

</details>

<details>

<summary>Utilisez des noms et des explications descriptifs</summary>

Donnez à chaque jeton un nom clair et pertinent, et incluez une description détaillée. Cela aide votre équipe à gérer, comprendre et auditer plus efficacement l’utilisation des jetons.

</details>

<details>

<summary>Attribuez un contact technique responsable</summary>

Assurez-vous que chaque jeton dispose d’un contact technique désigné. Cette personne sera responsable de la réception des mises à jour importantes, des alertes ou des notifications liées à l’accès à l’API et aux performances de l’intégration.

</details>

<details>

<summary>Sélectionnez la bonne version de l’API</summary>

Assurez-vous que le jeton est aligné sur la version de l’API que votre intégration est conçue pour utiliser. Cela aide à maintenir la compatibilité et à éviter les erreurs inattendues.

</details>

#### Surveiller et gérer les jetons à périmètre défini

<details>

<summary>Vérifiez régulièrement l’utilisation des jetons</summary>

Prenez l’habitude de vérifier comment vos jetons sont utilisés. Vous pouvez le faire en mettant en place un tableau de bord pour suivre l’activité des jetons ou en demandant à impact.com des détails d’utilisation. Notez également les erreurs fréquentes dans votre intégration.

</details>

<details>

<summary>Évitez d’accorder trop d’accès</summary>

Les jetons disposant de plus d’autorisations que nécessaire peuvent être dangereux s’ils sont exposés. Pour éviter cela, comparez ce qu’un jeton est autorisé à faire avec ce qu’il fait réellement. S’il dispose d’un accès dont il n’a pas besoin, supprimez-le.

</details>

<details>

<summary>Faites régulièrement pivoter les jetons</summary>

Modifiez régulièrement les identifiants des jetons pour aider à protéger votre système. Essayez de mettre à jour vos jetons tous les quelques mois — une fois par trimestre est une bonne règle. Lorsque vous créez un nouveau jeton, assurez-vous de mettre à jour vos intégrations pour utiliser le nouveau.

</details>

<details>

<summary>Utilisez des noms et des descriptions clairs</summary>

Donnez à chaque jeton un nom et une description qui expliquent à quoi il sert et à qui il appartient. Incluez des détails comme l’application ou le système qui l’utilise, son objectif, et s’il est destiné aux tests ou à un usage en production. Désignez également une personne de votre équipe comme contact principal pour chaque jeton en cas de problème.

</details>

<details>

<summary>Supprimez les jetons que vous n’utilisez pas</summary>

Les anciens jetons ou ceux qui ne sont pas utilisés peuvent créer des risques de sécurité. Planifiez des nettoyages réguliers — une fois par mois ou par trimestre — pour passer en revue tous les jetons. Supprimez ou désactivez tout jeton qui n’est plus nécessaire.

</details>

#### Foire aux questions

<details>

<summary>Les intégrations existantes seront-elles impactées ?</summary>

Non. Les intégrations existantes utilisant des jetons hérités continueront de fonctionner. Cependant, nous recommandons de passer aux jetons d’accès API à périmètre défini pour une meilleure sécurité et une meilleure gestion.

</details>

<details>

<summary>Que sont les jetons hérités ?</summary>

*Les jetons hérités* sont un ancien type de jeton d’accès qui a précédé *des jetons à périmètre défini*. Les jetons à périmètre défini sont devenus disponibles sur impact.com après mai 2025.

</details>

<details>

<summary>Quelles sont les bonnes pratiques pour sécuriser les jetons ?</summary>

En savoir plus sur [la sécurisation de vos jetons d’accès](https://help.impact.com/other/fr/readme/api-access-tokens-and-changelog/keep-your-access-tokens-secure).

</details>

<details>

<summary>Combien de jetons à périmètre défini puis-je créer ?</summary>

Chaque compte peut avoir jusqu’à 20 jetons à périmètre défini actifs. Les jetons peuvent être désactivés ou supprimés selon les besoins.

</details>

<details>

<summary>Que se passe-t-il lorsqu’un jeton est désactivé ?</summary>

Les jetons désactivés se verront refuser l’accès et renverront une réponse 403 « Accès refusé ». Cela permet une suspension temporaire sans supprimer le jeton.

</details>

<details>

<summary>Peut-on récupérer un jeton supprimé ?</summary>

Non, la fonctionnalité de suppression efface définitivement le jeton d’accès ainsi que toutes les autorisations attribuées. Si vous avez supprimé le jeton par erreur, vous pourrez en créer un nouveau et sélectionner les périmètres. Les intégrations existantes devront être mises à jour pour utiliser les nouveaux identifiants du jeton d’accès.

</details>

<details>

<summary>Un jeton à périmètre défini peut-il être soumis à une limitation de débit ?</summary>

Oui, les jetons d’accès à périmètre défini font partie de la limitation de débit au niveau du compte déjà en place.

</details>

<details>

<summary>Quelle méthode d’authentification les jetons à périmètre défini prennent-ils en charge ?</summary>

Nos jetons d’accès à périmètre défini ne prennent en charge que l’authentification de base.

</details>

<details>

<summary>Que se passe-t-il si vous utilisez un jeton invalide pour accéder à une API ?</summary>

Si vous effectuez une requête à une API sans jeton d’accès à périmètre défini valide, vous verrez une réponse 403 « Accès refusé ».

</details>