Jetons à portée limitée : bonnes pratiques

impact.com vous permet de créer jetons à portée limitée: identifiants API avec des autorisations granulaires, qui accordent l’accès à des points de terminaison API spécifiques. En savoir plus sur la sécurisation de vos jetons.

Avantages des jetons à portée limitée

chevron-rightSécurité renforcéehashtag

Les jetons à portée limitée n’autorisent l’accès qu’à ce qui est nécessaire, réduisant le risque en cas de compromission des identifiants.

chevron-rightMeilleur contrôle d’accèshashtag

Définissez des autorisations spécifiques pour ce que chaque jeton peut faire avec des API particulières.

chevron-rightSimplifier la gestionhashtag

Rationalisez la supervision des jetons, en particulier lorsque vous travaillez avec plusieurs équipes ou des partenaires externes.

chevron-rightSurveillance informativehashtag

Obtenez de la visibilité sur l’utilisation des jetons pour mieux comprendre le trafic API et gérer efficacement les limites de taux.

chevron-rightGestion améliorée des jetonshashtag

Créez, gérez et révoquez facilement des jetons sans perturber d’autres intégrations.

Bonnes pratiques pour créer des jetons à portée limitée

Suivez ces bonnes pratiques pour garantir la sécurité, la clarté et une gestion efficace lors de la création de jetons à portée limitée :

chevron-rightChoisissez uniquement les API et méthodes nécessaireshashtag

Définissez les portées en sélectionnant uniquement les API et les méthodes HTTP spécifiques, comme GET, POST, PUT, DELETE, dont votre intégration a réellement besoin. Si votre intégration a seulement besoin de récupérer des données, accordez l’accès à l’API en n’utilisant que la méthode GET.

chevron-rightAppliquez le principe du moindre privilègehashtag

Commencez toujours avec le niveau d’accès minimum nécessaire et n’ajoutez des autorisations supplémentaires que si cela est absolument nécessaire. Évitez d’activer les méthodes POST, PUT ou DELETE sauf si votre intégration les exige explicitement.

chevron-rightUtilisez des noms et des explications descriptifshashtag

Donnez à chaque jeton un nom clair et significatif, et incluez une description détaillée. Cela aide votre équipe à gérer, comprendre et auditer l’utilisation des jetons plus efficacement.

chevron-rightAttribuez un contact technique responsablehashtag

Assurez-vous que chaque jeton ait un contact technique désigné. Cette personne sera responsable de recevoir les mises à jour importantes, alertes ou notifications liées à l’accès API et aux performances de l’intégration.

chevron-rightSélectionnez la bonne version de l’APIhashtag

Veillez à ce que le jeton soit aligné sur la version de l’API que votre intégration est conçue pour utiliser. Cela aide à maintenir la compatibilité et à éviter les erreurs inattendues.

Surveillez et gérez les jetons à portée limitée

chevron-rightVérifiez régulièrement l’utilisation des jetonshashtag

Prenez l’habitude de vérifier comment vos jetons sont utilisés. Vous pouvez le faire en configurant un tableau de bord pour suivre l’activité des jetons ou en demandant à impact.com des détails d’utilisation. Notez également les erreurs fréquentes dans votre intégration.

chevron-rightÉvitez de donner trop d’accèshashtag

Les jetons disposant de permissions supérieures à leurs besoins peuvent être dangereux s’ils sont exposés. Pour l’éviter, comparez ce qu’un jeton est autorisé à faire avec ce qu’il fait réellement. S’il a des accès dont il n’a pas besoin, supprimez-les.

chevron-rightRenouvelez fréquemment les jetonshashtag

Changez régulièrement les identifiants des jetons pour contribuer à la sécurité de votre système. Essayez de mettre à jour vos jetons tous les quelques mois — une fois par trimestre est une bonne règle. Lorsque vous créez un nouveau jeton, assurez-vous de mettre à jour vos intégrations pour utiliser le nouveau.

chevron-rightUtilisez des noms et des descriptions clairshashtag

Donnez à chaque jeton un nom et une description qui expliquent à quoi sert le jeton et qui en est le propriétaire. Incluez des détails tels que l’application ou le système qui l’utilise, son objectif et s’il est destiné aux tests ou à la production. Attribuez également une personne de votre équipe comme contact principal pour chaque jeton en cas de problème.

chevron-rightSupprimez les jetons que vous n’utilisez pashashtag

Les jetons anciens ou inutilisés peuvent créer des risques de sécurité. Planifiez des nettoyages réguliers — une fois par mois ou par trimestre — pour passer en revue tous les jetons. Supprimez ou désactivez les jetons qui ne sont plus nécessaires.

Foire aux questions

chevron-rightLes intégrations existantes seront-elles affectées ?hashtag

Non. Les intégrations existantes utilisant des jetons hérités continueront de fonctionner. Cependant, nous recommandons de passer aux jetons d’accès API à portée limitée pour une sécurité et une gestion améliorées.

chevron-rightQue sont les jetons hérités ?hashtag

Jetons hérités sont un ancien type de jeton d’accès qui a précédé jetons à portée limitée. Les jetons à portée limitée sont devenus disponibles sur impact.com après mai 2025.

chevron-rightCombien de jetons à portée limitée puis-je créer ?hashtag

Chaque compte peut avoir jusqu’à 20 jetons à portée limitée actifs. Les jetons peuvent être désactivés ou supprimés selon les besoins.

chevron-rightQue se passe-t-il lorsqu’un jeton est désactivé ?hashtag

Les jetons désactivés se verront refuser l’accès et renverront une réponse 403 « Accès refusé ». Cela permet une suspension temporaire sans supprimer le jeton.

chevron-rightQue se passe-t-il si vous utilisez un jeton invalide pour accéder à une API ?hashtag

Si vous effectuez une requête à une API sans un jeton d’accès à portée limitée valide, vous verrez une réponse 403 « Accès refusé ».

chevron-rightPouvez-vous récupérer un jeton supprimé ?hashtag

Non, la fonctionnalité de suppression supprime définitivement le jeton d’accès et toutes les autorisations assignées. Si vous avez supprimé le jeton par erreur, vous pourrez créer un nouveau jeton et sélectionner les portées. Les intégrations existantes devront être mises à jour pour utiliser les nouveaux identifiants de jeton d’accès.

Mis à jour

Ce contenu vous a-t-il été utile ?