LogoLuckyFastPay Docs

Command Palette

Search for a command to run...

Renew Secret API

Toutes les requêtes adressées aux APIs LuckyFastPay doivent être authentifiées via l’en-tête HTTP `X-Secret`

format

Utilisation de la clé secrète (X-Secret)

Exemple d’en-tête

  • Une clé secrète unique est associée à chaque compte d’opération.
  • Elle est utilisée pour authentifier toutes les requêtes API.
  • Elle est temporaire et doit être renouvelée périodiquement.
X-Secret: sk_live_87e1f459-35e7-4047-8847-20c0d69da13c

Point de terminaison

Méthode POST
Url de base https://api.luckyfastpay.pro
Chemin /v2/{code-url}/renew-secret

Pré-requis

  • Votre profil marchand est validé.
  • Vous disposez du mot de passe d’opération requis pour la rotation.

Séquence de renouvellement

  1. Vous appelez l’endpoint `renew-secret` avec les paramètres requis.
  2. LuckyFastPay génère une nouvelle clé

Paramètres requis

Passez les paramètres dans la query string du `POST`. L’en-tête `X-Secret-MediaType` est optionnel si vous voulez choisir le format du secret livré.

Paramètres

NomEmplacementTypeObligatoireDescription
code-urlpathstringOuiCode URL marchand
operation_account_codequerystringOuiCode du compte d'opération
passwordquerystringOuiMot de passe marchand associé à l'API

Exemples

Exemple de requête

Langage
curl --location --request POST 'https://api.luckyfastpay.pro/v2/XXXXXXXX/renew-secret?operation_account_code=ACC_PROD_001&password=********'

Réponse de confirmation

{
  "operation_account_code" "ACC_PROD_001",
  "secret" "sk_live_xxxxxxxxxxxxxxxxxxx",
  "expires_in" 3600
}

Comportement et idempotence

  • Chaque appel validé génère une nouvelle clé. Par défaut, considérez l’ancienne clé comme obsolète dès activation de la nouvelle.
  • Si vous mettez en place un chevauchement (grace period), veillez à documenter la durée et le mode de bascule côté serveur.
  • En cas d’appels répétés (doublons), la dernière clé reçue est celle à utiliser.

Bonnes pratiques de sécurité

  • N’exposez jamais la clé côté client (web, mobile).
  • Utilisez un gestionnaire de secrets (ex: Vault, AWS Secrets Manager).
  • Autorisez uniquement des IPs de confiance vers votre URL de réception.
  • Surveillez les tentatives échouées et limitez la fréquence des rotations.
  • Réagissez à `AUTHENTICATION_FAILED` en déclenchant un renouvellement contrôlé.

Environnements

  • Test: utilisez vos URLs et comptes d’opération de test.
  • Production: remplacez URL/compte/clé de test par vos équivalents de production.

Erreurs fréquentes

HTTPCodeCauseExemple
401AUTHENTICATION_FAILEDClé expirée ou incorrecte
{
  "date" "23102024-153045",
  "status_code" 401,
  "error" "AUTHENTICATION_FAILED",
  "message" "Invalid or expired secret key.",
  "path" "/{codeUrl}/renew-secret"
}
403SECRET_KEY_RECEPTION_URL_NOT_ACTIVEL’URL de réception n’est pas active
{
  "date" "23102024-153045",
  "status_code" 403,
  "error" "SECRET_KEY_RECEPTION_URL_NOT_ACTIVE",
  "message" "Reception URL is disabled for this account.",
  "path" "/{codeUrl}/renew-secret"
}
400INVALID_SECRET_KEY_RECEPTION_URL_CODECode d’URL invalide dans la requête
{
  "date" "23102024-153045",
  "status_code" 400,
  "error" "INVALID_SECRET_KEY_RECEPTION_URL_CODE",
  "message" "Provided receptionUrlCode is not valid.",
  "path" "/{codeUrl}/renew-secret"
}

FAQ

  • Dois-je répondre à la livraison de clé ? → Oui, répondez 200 pour confirmer la réception.
  • Combien de temps la clé est-elle valable ? → Définissez une politique interne claire.
  • Que faire en cas de perte de la clé ? → Renouvelez immédiatement et purgez la clé compromise.