Authentification et sécurité
La sécurité est une exigence fondamentale de toute intégration API YAPU. Cette page présente la manière dont les APIs YAPU gèrent l'authentification et le chiffrement.
Les identifiants spécifiques, tokens et URLs d'environnement ne sont jamais publiés dans ce portail. Ils sont fournis de manière sécurisée par votre contact YAPU lors de la phase d'intégration et de spécification.
Méthode d'authentification
Les APIs YAPU utilisent l'authentification par Bearer token / clé API. Chaque requête doit inclure un token d'authentification valide dans l'en-tête de la requête.
Le format exact de l'en-tête et la structure du token sont définis dans la documentation technique API fournie par YAPU lors de la phase de spécification.
:::warning Sécurité des identifiants Votre clé API confère des privilèges importants. Manipulez-la avec soin :
- Ne partagez jamais votre clé API dans des espaces publiquement accessibles tels que GitHub, du code côté client ou de la documentation.
- Ne codez jamais en dur les identifiants dans le code source de votre application.
- Ne commitez jamais les identifiants dans des systèmes de contrôle de version.
- Stockez les tokens de manière sécurisée à l'aide de variables d'environnement ou d'un système de gestion des secrets.
- Renouvelez immédiatement les identifiants en cas d'exposition accidentelle.
Pour obtenir ou modifier votre clé API, contactez votre administrateur YAPU. :::
Architecture de sécurité
| Couche | Mécanisme | Notes |
|---|---|---|
| Chiffrement du transport | TLS | TLS 1.2 minimum ; TLS 1.3 recommandé |
| Chiffrement du payload | RSA (optionnel) | Couche additionnelle au-delà de TLS pour les payloads sensibles |
| Données au repos | AES-256 | Toutes les données de requête/réponse stockées sont chiffrées |
| Application du protocole | HTTPS uniquement | Les requêtes HTTP simples reçoivent une redirection 301 Moved Permanently |
| Journalisation des audits | Côté serveur | Toutes les requêtes sont journalisées ; détection d'anomalies active sur les patterns d'utilisation |
:::note Chiffrement RSA du payload Le chiffrement RSA du payload est une couche optionnelle au-delà de TLS. Votre spécialiste d'intégration YAPU vous indiquera si cette option est requise pour votre intégration. :::
Application du HTTPS
Toute communication avec les APIs YAPU doit utiliser HTTPS. Cela est appliqué au niveau de l'infrastructure — les requêtes HTTP simples reçoivent une redirection 301 Moved Permanently et ne sont pas traitées.
Bonnes pratiques de sécurité
Adoptez ces pratiques tout au long de votre intégration :
| Pratique | Recommandation |
|---|---|
| Utiliser des variables d'environnement | Stockez tous les identifiants dans des variables d'environnement, jamais dans le code |
| Limiter les accès | Seuls les systèmes nécessitant un accès API doivent disposer des identifiants |
| Utiliser des identifiants de staging séparés | Les identifiants staging et production sont différents — ne les mélangez pas |
| Surveiller les accès non autorisés | Journalisez et alertez sur les échecs d'authentification inattendus |
| Ne demander que ce dont vous avez besoin | N'appelez que les endpoints API pertinents pour votre offre d'intégration |
Cycle de vie des identifiants
- Les identifiants sont émis par YAPU lors de la phase de spécification et d'intégration.
- Les identifiants pour les environnements staging et production sont séparés.
- Si vous suspectez qu'un identifiant a été compromis, contactez immédiatement votre représentant YAPU.
Récapitulatif
| Élément de sécurité | Implémentation |
|---|---|
| Authentification | Bearer token / clé API |
| Chiffrement | RSA |
| Transport | HTTPS (appliqué — pas de HTTP) |
| Gestion des identifiants | Fournis par YAPU lors de l'intégration |
| Exposition publique des identifiants | Jamais — non publiés dans ce portail |