Utilisation de la clé secrète (X-Secret)
Exemple d’en-tête
- Une clé secrète unique est associée à chaque compte d’opération.
- Elle est utilisée pour authentifier toutes les requêtes API.
- Elle est temporaire et doit être renouvelée périodiquement.
Point de terminaison
Méthode
POSTUrl de base
https://api.luckyfastpay.proChemin
/v2/{code-url}/renew-secretPré-requis
- Votre profil marchand est validé.
- Vous disposez du mot de passe d’opération requis pour la rotation.
Séquence de renouvellement
- Vous appelez l’endpoint `renew-secret` avec les paramètres requis.
- LuckyFastPay génère une nouvelle clé
Paramètres requis
Passez les paramètres dans la query string du `POST`. L’en-tête `X-Secret-MediaType` est optionnel si vous voulez choisir le format du secret livré.
Paramètres
| Nom | Emplacement | Type | Obligatoire | Description |
|---|---|---|---|---|
code-url | path | string | Oui | Code URL marchand |
operation_account_code | query | string | Oui | Code du compte d'opération |
password | query | string | Oui | Mot de passe marchand associé à l'API |
Exemples
Exemple de requête
Langage
Réponse de confirmation
Comportement et idempotence
- Chaque appel validé génère une nouvelle clé. Par défaut, considérez l’ancienne clé comme obsolète dès activation de la nouvelle.
- Si vous mettez en place un chevauchement (grace period), veillez à documenter la durée et le mode de bascule côté serveur.
- En cas d’appels répétés (doublons), la dernière clé reçue est celle à utiliser.
Bonnes pratiques de sécurité
- N’exposez jamais la clé côté client (web, mobile).
- Utilisez un gestionnaire de secrets (ex: Vault, AWS Secrets Manager).
- Autorisez uniquement des IPs de confiance vers votre URL de réception.
- Surveillez les tentatives échouées et limitez la fréquence des rotations.
- Réagissez à `AUTHENTICATION_FAILED` en déclenchant un renouvellement contrôlé.
Environnements
- Test: utilisez vos URLs et comptes d’opération de test.
- Production: remplacez URL/compte/clé de test par vos équivalents de production.
Erreurs fréquentes
| HTTP | Code | Cause | Exemple |
|---|---|---|---|
401 | AUTHENTICATION_FAILED | Clé expirée ou incorrecte | |
403 | SECRET_KEY_RECEPTION_URL_NOT_ACTIVE | L’URL de réception n’est pas active | |
400 | INVALID_SECRET_KEY_RECEPTION_URL_CODE | Code d’URL invalide dans la requête |
FAQ
- Dois-je répondre à la livraison de clé ? → Oui, répondez 200 pour confirmer la réception.
- Combien de temps la clé est-elle valable ? → Définissez une politique interne claire.
- Que faire en cas de perte de la clé ? → Renouvelez immédiatement et purgez la clé compromise.