Jetons à portée limitée : bonnes pratiques
impact.com vous permet de créer jetons à portée limitée: identifiants API avec des autorisations granulaires, qui accordent l’accès à des points de terminaison API spécifiques. En savoir plus sur la sécurisation de vos jetons.
Avantages des jetons à portée limitée
Sécurité renforcée
Les jetons à portée limitée n’autorisent l’accès qu’à ce qui est nécessaire, réduisant le risque en cas de compromission des identifiants.
Meilleur contrôle d’accès
Définissez des autorisations spécifiques pour ce que chaque jeton peut faire avec des API particulières.
Simplifier la gestion
Rationalisez la supervision des jetons, en particulier lorsque vous travaillez avec plusieurs équipes ou des partenaires externes.
Surveillance informative
Obtenez de la visibilité sur l’utilisation des jetons pour mieux comprendre le trafic API et gérer efficacement les limites de taux.
Gestion améliorée des jetons
Créez, gérez et révoquez facilement des jetons sans perturber d’autres intégrations.
Bonnes pratiques pour créer des jetons à portée limitée
Suivez ces bonnes pratiques pour garantir la sécurité, la clarté et une gestion efficace lors de la création de jetons à portée limitée :
Choisissez uniquement les API et méthodes nécessaires
Définissez les portées en sélectionnant uniquement les API et les méthodes HTTP spécifiques, comme GET, POST, PUT, DELETE, dont votre intégration a réellement besoin. Si votre intégration a seulement besoin de récupérer des données, accordez l’accès à l’API en n’utilisant que la méthode GET.
Appliquez le principe du moindre privilège
Commencez toujours avec le niveau d’accès minimum nécessaire et n’ajoutez des autorisations supplémentaires que si cela est absolument nécessaire. Évitez d’activer les méthodes POST, PUT ou DELETE sauf si votre intégration les exige explicitement.
Utilisez des noms et des explications descriptifs
Donnez à chaque jeton un nom clair et significatif, et incluez une description détaillée. Cela aide votre équipe à gérer, comprendre et auditer l’utilisation des jetons plus efficacement.
Attribuez un contact technique responsable
Assurez-vous que chaque jeton ait un contact technique désigné. Cette personne sera responsable de recevoir les mises à jour importantes, alertes ou notifications liées à l’accès API et aux performances de l’intégration.
Sélectionnez la bonne version de l’API
Veillez à ce que le jeton soit aligné sur la version de l’API que votre intégration est conçue pour utiliser. Cela aide à maintenir la compatibilité et à éviter les erreurs inattendues.
Surveillez et gérez les jetons à portée limitée
Vérifiez régulièrement l’utilisation des jetons
Prenez l’habitude de vérifier comment vos jetons sont utilisés. Vous pouvez le faire en configurant un tableau de bord pour suivre l’activité des jetons ou en demandant à impact.com des détails d’utilisation. Notez également les erreurs fréquentes dans votre intégration.
Évitez de donner trop d’accès
Les jetons disposant de permissions supérieures à leurs besoins peuvent être dangereux s’ils sont exposés. Pour l’éviter, comparez ce qu’un jeton est autorisé à faire avec ce qu’il fait réellement. S’il a des accès dont il n’a pas besoin, supprimez-les.
Renouvelez fréquemment les jetons
Changez régulièrement les identifiants des jetons pour contribuer à la sécurité de votre système. Essayez de mettre à jour vos jetons tous les quelques mois — une fois par trimestre est une bonne règle. Lorsque vous créez un nouveau jeton, assurez-vous de mettre à jour vos intégrations pour utiliser le nouveau.
Utilisez des noms et des descriptions clairs
Donnez à chaque jeton un nom et une description qui expliquent à quoi sert le jeton et qui en est le propriétaire. Incluez des détails tels que l’application ou le système qui l’utilise, son objectif et s’il est destiné aux tests ou à la production. Attribuez également une personne de votre équipe comme contact principal pour chaque jeton en cas de problème.
Supprimez les jetons que vous n’utilisez pas
Les jetons anciens ou inutilisés peuvent créer des risques de sécurité. Planifiez des nettoyages réguliers — une fois par mois ou par trimestre — pour passer en revue tous les jetons. Supprimez ou désactivez les jetons qui ne sont plus nécessaires.
Foire aux questions
Les intégrations existantes seront-elles affectées ?
Non. Les intégrations existantes utilisant des jetons hérités continueront de fonctionner. Cependant, nous recommandons de passer aux jetons d’accès API à portée limitée pour une sécurité et une gestion améliorées.
Que sont les jetons hérités ?
Jetons hérités sont un ancien type de jeton d’accès qui a précédé jetons à portée limitée. Les jetons à portée limitée sont devenus disponibles sur impact.com après mai 2025.
Combien de jetons à portée limitée puis-je créer ?
Chaque compte peut avoir jusqu’à 20 jetons à portée limitée actifs. Les jetons peuvent être désactivés ou supprimés selon les besoins.
Que se passe-t-il lorsqu’un jeton est désactivé ?
Les jetons désactivés se verront refuser l’accès et renverront une réponse 403 « Accès refusé ». Cela permet une suspension temporaire sans supprimer le jeton.
Que se passe-t-il si vous utilisez un jeton invalide pour accéder à une API ?
Si vous effectuez une requête à une API sans un jeton d’accès à portée limitée valide, vous verrez une réponse 403 « Accès refusé ».
Pouvez-vous récupérer un jeton supprimé ?
Non, la fonctionnalité de suppression supprime définitivement le jeton d’accès et toutes les autorisations assignées. Si vous avez supprimé le jeton par erreur, vous pourrez créer un nouveau jeton et sélectionner les portées. Les intégrations existantes devront être mises à jour pour utiliser les nouveaux identifiants de jeton d’accès.
Mis à jour
Ce contenu vous a-t-il été utile ?