Clés API
Les clés API authentifient les requêtes vers l'API de gestion ConsentForge. Elles sont différentes des tokens d'intégration — gardez-les secrètes et utilisez-les uniquement depuis votre backend.
Création d'une clé API
Compte → Clés API → Créer une clé
- Saisissez un nom descriptif (ex. "Synchronisation backend — production")
- Sélectionnez les scopes dont votre intégration a besoin (minimum nécessaire)
- Définissez une date d'expiration (optionnel mais recommandé)
- Cliquez sur Créer
Copiez la clé immédiatement — elle n'est affichée qu'une seule fois.
Scopes disponibles
| Scope | Accès |
|---|---|
properties:read | Lister et consulter les propriétés |
properties:write | Créer et mettre à jour les propriétés |
policies:read | Consulter les politiques et versions |
policies:write | Créer, publier, restaurer les politiques |
receipts:read | Consulter les reçus de consentement |
receipts:export | Exporter les reçus (grands ensembles de résultats) |
webhooks:read | Consulter la configuration webhook |
webhooks:write | Créer et mettre à jour les webhooks |
users:read | Lister les utilisateurs du compte |
users:write | Inviter et supprimer des utilisateurs |
scan:trigger | Déclencher des scans via l'API |
admin | Accès complet — utilisez avec parcimonie |
Expiration des clés
Définissez une date d'expiration pour limiter l'impact en cas de compromission d'une clé. Les clés expirées cessent de fonctionner automatiquement.
Faites pivoter les clés régulièrement. Pour pivoter : créez une nouvelle clé → mettez à jour votre intégration → supprimez l'ancienne clé.
Révocation d'une clé
Compte → Clés API → [Nom de la clé] → Révoquer
La révocation est immédiate. Toute intégration utilisant la clé commencera à recevoir des réponses 401 Unauthorized.
Bonnes pratiques de sécurité pour les clés
- Stockez les clés dans des variables d'environnement ou un gestionnaire de secrets, jamais dans le code source
- Utilisez une clé par intégration (plus facile de révoquer une seule clé compromise)
- Utilisez le scope le plus restrictif qui fonctionne pour votre cas d'utilisation
- Définissez une date d'expiration pour les clés utilisées dans les pipelines CI/CD