Jetons avec périmètre : bonnes pratiques
impact.com vous permet de créer des jetons à périmètre défini: des identifiants API avec des autorisations granulaires, qui accordent l’accès à des points de terminaison API spécifiques. En savoir plus sur la sécurisation de vos jetons.
Avantages des jetons à périmètre défini
Sécurité renforcée
Les jetons à périmètre défini n’autorisent l’accès qu’à ce qui est nécessaire, réduisant ainsi le risque en cas de compromission des identifiants.
Meilleur contrôle des accès
Définissez des autorisations spécifiques pour ce que chaque jeton peut faire avec des API précises.
Simplifier la gestion
Rationalisez la supervision des jetons, surtout lorsque vous travaillez avec plusieurs équipes ou des partenaires externes.
Surveillance pertinente
Obtenez une visibilité sur l’utilisation des jetons afin de mieux comprendre le trafic API et de gérer efficacement les limites de débit.
Gestion des jetons améliorée
Créez, gérez et révoquez facilement des jetons sans perturber les autres intégrations.
Bonnes pratiques pour créer des jetons à périmètre défini
Suivez ces bonnes pratiques pour garantir la sécurité, la clarté et une gestion efficace lors de la création de jetons à périmètre défini :
Choisissez uniquement les API et les méthodes dont vous avez besoin
Définissez les périmètres en sélectionnant uniquement les API et les méthodes HTTP spécifiques, comme GET, POST, PUT, DELETE, dont votre intégration a réellement besoin. Si votre intégration ne doit que récupérer des données, accordez l’accès à l’API en utilisant uniquement la méthode GET.
Appliquez le principe du moindre privilège
Commencez toujours avec le niveau d’accès minimal nécessaire et n’ajoutez d’autres autorisations que si c’est absolument nécessaire. Évitez d’activer les méthodes POST, PUT ou DELETE, sauf si votre intégration les exige explicitement.
Utilisez des noms et des explications descriptifs
Donnez à chaque jeton un nom clair et pertinent, et incluez une description détaillée. Cela aide votre équipe à gérer, comprendre et auditer plus efficacement l’utilisation des jetons.
Attribuez un contact technique responsable
Assurez-vous que chaque jeton dispose d’un contact technique désigné. Cette personne sera responsable de la réception des mises à jour importantes, des alertes ou des notifications liées à l’accès à l’API et aux performances de l’intégration.
Sélectionnez la bonne version de l’API
Assurez-vous que le jeton est aligné sur la version de l’API que votre intégration est conçue pour utiliser. Cela aide à maintenir la compatibilité et à éviter les erreurs inattendues.
Surveiller et gérer les jetons à périmètre défini
Vérifiez régulièrement l’utilisation des jetons
Prenez l’habitude de vérifier comment vos jetons sont utilisés. Vous pouvez le faire en mettant en place un tableau de bord pour suivre l’activité des jetons ou en demandant à impact.com des détails d’utilisation. Notez également les erreurs fréquentes dans votre intégration.
Évitez d’accorder trop d’accès
Les jetons disposant de plus d’autorisations que nécessaire peuvent être dangereux s’ils sont exposés. Pour éviter cela, comparez ce qu’un jeton est autorisé à faire avec ce qu’il fait réellement. S’il dispose d’un accès dont il n’a pas besoin, supprimez-le.
Faites régulièrement pivoter les jetons
Modifiez régulièrement les identifiants des jetons pour aider à protéger votre système. Essayez de mettre à jour vos jetons tous les quelques mois — une fois par trimestre est une bonne règle. Lorsque vous créez un nouveau jeton, assurez-vous de mettre à jour vos intégrations pour utiliser le nouveau.
Utilisez des noms et des descriptions clairs
Donnez à chaque jeton un nom et une description qui expliquent à quoi il sert et à qui il appartient. Incluez des détails comme l’application ou le système qui l’utilise, son objectif, et s’il est destiné aux tests ou à un usage en production. Désignez également une personne de votre équipe comme contact principal pour chaque jeton en cas de problème.
Supprimez les jetons que vous n’utilisez pas
Les anciens jetons ou ceux qui ne sont pas utilisés peuvent créer des risques de sécurité. Planifiez des nettoyages réguliers — une fois par mois ou par trimestre — pour passer en revue tous les jetons. Supprimez ou désactivez tout jeton qui n’est plus nécessaire.
Foire aux questions
Les intégrations existantes seront-elles impactées ?
Non. Les intégrations existantes utilisant des jetons hérités continueront de fonctionner. Cependant, nous recommandons de passer aux jetons d’accès API à périmètre défini pour une meilleure sécurité et une meilleure gestion.
Que sont les jetons hérités ?
Les jetons hérités sont un ancien type de jeton d’accès qui a précédé des jetons à périmètre défini. Les jetons à périmètre défini sont devenus disponibles sur impact.com après mai 2025.
Quelles sont les bonnes pratiques pour sécuriser les jetons ?
En savoir plus sur la sécurisation de vos jetons d’accès.
Combien de jetons à périmètre défini puis-je créer ?
Chaque compte peut avoir jusqu’à 20 jetons à périmètre défini actifs. Les jetons peuvent être désactivés ou supprimés selon les besoins.
Que se passe-t-il lorsqu’un jeton est désactivé ?
Les jetons désactivés se verront refuser l’accès et renverront une réponse 403 « Accès refusé ». Cela permet une suspension temporaire sans supprimer le jeton.
Peut-on récupérer un jeton supprimé ?
Non, la fonctionnalité de suppression efface définitivement le jeton d’accès ainsi que toutes les autorisations attribuées. Si vous avez supprimé le jeton par erreur, vous pourrez en créer un nouveau et sélectionner les périmètres. Les intégrations existantes devront être mises à jour pour utiliser les nouveaux identifiants du jeton d’accès.
Un jeton à périmètre défini peut-il être soumis à une limitation de débit ?
Oui, les jetons d’accès à périmètre défini font partie de la limitation de débit au niveau du compte déjà en place.
Mis à jour
Ce contenu vous a-t-il été utile ?