Clés API
Utilisez des clés API pour authentifier vos requêtes API.
Stripe authentifie les requêtes API grâce aux clés API de votre compte. Si une requête ne contient pas de clé valide, Stripe renvoie une erreur de requête non valide. Si une requête contient une clé supprimée ou expirée, Stripe renvoie une erreur d’authentification.
Utilisez le Dashboard pour développeurs pour créer, révéler, supprimer et effectuer la rotation des clés API. Vous pouvez accéder à vos clés API dans l’onglet Clés API.
Si vous débutez sur Stripe
- Protégez votre entreprise : lisez nos bonnes pratiques pour la gestion des clés.
- Développer ou effectuer des tests : Utilisez vos clés de l’environnement de test (mode test). Les clés commencent par
pk_(clé publique),test_ rk_(clé limitée) ettest_ sk_(clé secrète). Elles vous permettent d’effectuer des tests sans affecter les données en mode production.test_ - Lorsque vous êtes prêt à accepter des paiements réels : Basculez vers vos clés de mode production, qui commencent par
pk_,live_ rk_etlive_ sk_. Consultez la section Basculer en mode production pour les instructions.live_ - Si vous recherchez un secret de signature de webhook : Les secrets de webhook sont distincts des clés d’API. Vous les trouverez dans la section Webhooks du Dashboard, sous chaque endpoint de webhook.
Types de clés
Lorsque vous créez un compte Stripe, nous créons trois types de clés API pour vous :
| Type | Sans danger ? | Description |
|---|---|---|
Clé API limitée (RAK)rk_ | Non | Clé API dont vous contrôlez les autorisations. Limitez les dommages pour votre entreprise qu’un acteur malveillant pourrait causer s’il obtenait votre clé. Créez autant de RAK que vous le souhaitez et affectez-les à différentes parties de votre application. Ce guide explique comment configurer et utiliser les RAK. |
| Clé API publiable | Oui | Clé API que vous pouvez intégrer dans du code front-end ou dans des applications que vous distribuez. |
Clé API secrètesk_ | Non | Clé API disposant d’autorisations illimitées sur toutes les API Stripe. Dans la mesure où il n’est pas possible de limiter ses autorisations, nous déconseillons d’utiliser les clés secrètes pour de nouveaux cas d’utilisation, et pour les intégrations existantes, nous recommandons de migrer l’utilisation des clés secrètes vers des RAK. |
Clé API de l’organisationsk_ | Non | Clé API fonctionnant au niveau de l’organisation. Similaire aux clés secrètes ou limitées au niveau du compte, mais opère au niveau de l’organisation pour gérer plusieurs comptes Stripe à la fois. Ce guide explique comment configurer et utiliser les clés API de l’organisation. |
Nous prenons également en charge les clés API gérées émises par certaines plateformes d’hébergement. Les clés gérées sont des clés API secrètes qu’une plateforme d’hébergement transmet directement à vos applications hébergées. Vous n’avez pas besoin de les gérer directement ; votre fournisseur d’hébergement les émet et les renouvelle pour vous.
Clé secrète de signature de webhook
Les clés secrètes de signature de webhook ne sont pas des clés API. Il s’agit de clés secrètes par webhook que votre récepteur webhook utilise pour s’assurer que les webhooks proviennent réellement de Stripe. Vous trouverez la clé secrète de signature pour chaque endpoint webhook dans la section Webhooks du Dashboard.
Si vous avez créé votre compte Stripe avant mai 2026, il est possible que vous n’ayez pas de clés API limitées. Nous vous recommandons de créer des RAK et de migrer depuis les clés secrètes.
Vous êtes responsable de la gestion sécurisée de vos clés API. Consultez notre guide sur les bonnes pratiques de protection des clés API.
Environnement de test ou mode production
Toutes les requêtes vers l’API Stripe s’effectuent soit en environnement de test, soit en mode production. L’environnement de test permet de tester votre intégration et d’accéder aux données de test, tandis que le mode production permet d’accéder aux données réelles du compte. Chaque mode dispose de son propre ensemble de clés API, et les objets d’un mode ne sont pas accessibles dans l’autre. Par exemple, un objet product en environnement de test ne peut pas être utilisé pour un paiement en mode production.
| Type | Quand l’utiliser | Objets | Comment l’utiliser | Considérations |
|---|---|---|---|---|
| Environnements de test | Utilisez un environnement de test et les clés API test associées au fur et à mesure que vous développez votre intégration. Dans un bac à sable, les réseaux de cartes et les prestataires de services de paiement ne traitent pas les paiements. | Les appels à l’API renvoient des objets fictifs. Vous pouvez par exemple récupérer et utiliser des objets account, payment, customer, charge, refund, transfer, balance et subscription de test. | Utilisez des cartes et des comptes de test. Vous ne pouvez pas accepter de moyens de paiement réels ni utiliser de vrais comptes. | Identity n’effectue aucun contrôle de vérification. Les objets Account de Connect ne renvoient pas de champs sensibles. |
| Mode production | Utilisez le mode production et les clés API de production correspondantes au moment de lancer votre intégration et de commencer à accepter des fonds. En mode production, les paiements sont réellement traités par les réseaux de cartes et fournisseurs de services de paiement. | Les appels à l’API renvoient des objets réels. Vous pouvez par exemple récupérer et utiliser des objets account, payment, customer, charge, refund, transfer, balance et subscription réels. | Acceptez des cartes bancaires réelles et utilisez de vrais comptes client. Vous pouvez accepter des paiements, autorisations de paiement et captures réels à partir de cartes bancaires et de comptes. | Les litiges ont un flux plus nuancé et un processus de test plus simple. En outre, certains moyens de paiement ont un flux plus nuancé et nécessitent plus d’étapes. |
Protéger vos clés
Seules les clés publiables peuvent être exposées en toute sécurité en dehors du back-end de votre application. Vous êtes responsable de la protection des autres clés API Stripe, y compris les clés API limitées. Voici quelques façons de protéger vos clés :
- Stockez les clés sensibles dans un coffre-fort de secrets fourni par votre plateforme d’hébergement. Cet article de blog en présente un exemple. Si vous ne pouvez pas utiliser de coffre-fort de secrets, utilisez des variables d’environnement pour fournir les clés à vos applications back-end.
- Ne placez pas de clés dans le code source ou dans les fichiers de configuration versionnés.
- Configurez les politiques d’accès pour que les clés ne puissent être utilisées qu’à partir de vos serveurs connus.
- Changez les clés lorsque des membres de votre équipe ayant accès à ces clés quittent votre organisation.
- Ne partagez pas vos clés par e-mail, messagerie instantanée ou tout autre canal non chiffré.
Pour un guide complet, consultez les bonnes pratiques en matière de gestion des clés API secrètes. Nous maintenons également une bibliothèque de compétences pour aider les agents d’IA à suivre ces bonnes pratiques.
Gérer vos clés API
Utilisez le Dashboard pour créer, révéler, modifier, supprimer et effectuer la rotation de vos clés API.
Créer une clé API limitée
Utilisez des clés d’API limitées (RAK) pour la plupart des cas d’usage. Vous pouvez utiliser une RAK pour attribuer les autorisations exactes dont votre intégration a besoin, ce qui permet de réduire les dommages qu’un acteur malveillant pourrait vous causer s’il obtenait votre clé.
- Suivez les instructions relatives aux clés API limitées pour créer une RAK, configurer ses autorisations et migrer depuis les clés secrètes.
Créer une clé API secrète
Créez une clé API secrète non limitée uniquement si votre intégration nécessite un accès à toutes les API et ressources Stripe sans restriction. Si un acteur malveillant obtient votre clé secrète, il peut nuire à votre entreprise. Nous recommandons d’utiliser des RAK à la place.
- Dans l’onglet Clés API, cliquez sur Créer une clé secrète.
- Dans la boîte de dialogue, saisissez le code de vérification que nous vous envoyons par e-mail ou par SMS. Si la boîte de dialogue ne se poursuit pas automatiquement, cliquez sur Continuer.
- Saisissez un nom dans le champ Nom de la clé, puis cliquez sur Créer.
- Cliquez sur la valeur de la clé pour la copier.
- Enregistrez la valeur de la clé. Vous ne pourrez pas la récupérer plus tard.
- Dans le champ Ajouter une note, saisissez l’emplacement où vous avez enregistré la clé, puis cliquez sur Terminé.
Révéler une clé API
Lorsque vous créez une clé secrète en mode production, nous l’affichons une seule fois avant que vous la sauvegardiez. Copiez la clé avant de la sauvegarder, car il ne sera plus possible de la révéler ensuite.
En mode production, vous ne pouvez afficher que les clés API que nous créons pour vous, comme une clé secrète par défaut ou une clé générée par une rotation planifiée. En environnement de test, vous pouvez toujours voir toutes vos clés API, y compris les clés limitées et secrètes.
Conseil en matière de sécurité
Stockez les clés sensibles dans un endroit sûr où vous ne risquez pas de les perdre, comme un coffre-fort de secrets fourni par votre plateforme. Ne placez pas de clés dans le code de votre application.
Les clés API publiables ne sont pas sensibles : nous les affichons par défaut et aucune action n’est nécessaire pour les révéler.
Il nous est impossible de récupérer les clés que vous avez oubliées ou auxquelles vous n’avez plus accès. Si vous perdez une clé, faites-la pivoter ou supprimez-la, puis créez-en une autre.
Pour afficher une RAK en mode production
Vous ne pouvez afficher que les RAK en mode production que nous avons créées pour vous. Si vous créez vous-même une RAK, vous ne pourrez plus la révéler après l’avoir vue une fois.
- Dans l’onglet Clés API en mode production, dans la liste Clés limitées, cliquez sur Révéler la clé en mode production pour la clé que vous souhaitez afficher.
- Cliquez sur la valeur de la clé pour la copier.
- Enregistrez la valeur de la clé dans le coffre-fort de secrets de votre plateforme. Si votre plateforme n’en fournit pas, utilisez une variable d’environnement.
- Cliquez sur Masquer la clé de production.
Pour révéler une clé API secrète en mode production
Vous ne pouvez afficher que les clés secrètes en mode production que nous avons créées pour vous. Si vous créez vous-même une clé secrète, vous ne pourrez plus la révéler après l’avoir vue une fois.
- Dans l’onglet Clés API en mode production, dans la liste Clés standard, cliquez sur Révéler la clé en mode production pour la clé que vous souhaitez afficher.
- Cliquez sur la valeur de la clé pour la copier.
- Enregistrez la valeur de la clé dans le coffre-fort de secrets de votre plateforme. Si votre plateforme n’en fournit pas, utilisez une variable d’environnement.
- Cliquez sur Masquer la clé de production.
- Cliquez sur le menu de débordement (), puis sélectionnez Modifier la clé pour la clé à laquelle vous souhaitez ajouter une note.
- Dans le champ Note, saisissez l’emplacement où vous avez enregistré la clé, puis cliquez sur Enregistrer.
Limiter une clé API à certaines adresses IP
Les politiques d’accès ont remplacé les restrictions d’adresse IP. Utilisez des politiques, et non des restrictions.
Modifier le nom ou la note d’une clé API
- Dans l’onglet Clés API, cliquez sur le menu de débordement () de la clé que vous souhaitez modifier.
- Sélectionnez Modifier la clé.
- Effectuez les actions suivantes :
- Pour modifier le nom, saisissez un nouveau nom dans le champ Nom de la clé.
- Pour modifier le texte de la note, saisissez le nouveau texte dans le champ Note.
- Cliquez sur Enregistrer.
Faire expirer une clé API
Si vous faites expirer une clé API secrète ou une clé API restreinte, vous devez en créer une nouvelle et mettre à jour tout code qui utilise la clé expirée. Tout code utilisant la clé expirée ne peut plus effectuer d’appels à l’API.
Remarque
Vous ne pouvez pas faire expirer une clé publique.
- Dans l’onglet Clés API, dans la liste Clés limitées ou Clés standard, cliquez sur le menu de débordement () de la clé que vous souhaitez faire expirer.
- Sélectionnez Expire key (faire expirer la clés).
- Dans la boîte de dialogue, cliquez sur Expire key (Faire expirer la clé). Si vous ne souhaitez plus faire expirer la clé, cliquez sur Cancel (Annuler).
Modifier une clé API
La rotation d’une clé API la révoque et génère une clé de remplacement immédiatement utilisable. Vous pouvez également planifier la rotation d’une clé API à une date ultérieure. La clé de remplacement est nommée comme suit :
- Le nom de la clé publiable de remplacement est toujours
Publishable key. - Le nom de la clé secrète de remplacement est toujours
Secret key. - Le nom de la clé limitée de remplacement est identique à celui de la clé faisant l’objet de la rotation.
Vous pouvez renommer une clé API secrète ou limitée en modifiant la clé.
Effectuer la rotation d’une clé API dans les scénarios suivants :
- Si vous perdez une clé API secrète ou limitée en mode production et que vous ne pouvez pas la récupérer depuis le Dashboard.
- Si une clé API secrète ou limitée est compromise et que vous devez la révoquer afin de bloquer toute requête API potentiellement malveillante.
- Si un membre de l’équipe ayant accès à la clé quitte votre organisation ou change de rôle.
- Si votre politique impose une rotation des clés à intervalles réguliers.
Effectuez une rotation en toute sécurité pour éviter les temps d’indisponibilité
Pour éviter les temps d’indisponibilité lors de la rotation des clés :
- Utilisez la période de grâce : lorsque vous effectuez la rotation d’une clé dans le Dashboard, l’ancienne et la nouvelle clé fonctionnent pendant 7 jours maximum. Cela vous permet de migrer progressivement sans temps d’indisponibilité. Si vous avez besoin de plus de 7 jours, créez une nouvelle clé manuellement, effectuez la migration vers celle-ci, puis faites expirer l’ancienne lorsque vous avez terminé.
- Déployez progressivement : si possible, utilisez d’abord la nouvelle clé depuis un petit sous-ensemble de vos serveurs ou services, et surveillez les logs de vos serveurs pour y détecter d’éventuelles erreurs avant de poursuivre le déploiement.
- Surveillez avant de révoquer : avant que l’ancienne clé n’expire, consultez ses logs de demandes, et ne la faites expirer qu’une fois que son volume de demandes est resté à zéro pendant quelques heures ou quelques jours.
Rotation d’une clé API
- Dans l’onglet Clés API, cliquez sur le menu de débordement () de la clé que vous souhaitez faire tourner.
- Sélectionnez Rotation de la clé.
- Sélectionnez une date d’expiration dans la liste déroulante Expiration. Si vous choisissez Maintenant, l’ancienne clé est supprimée. Si vous indiquez une heure, le temps restant avant l’expiration de la clé s’affiche sous le nom de la clé.
- Cliquez sur Rotation de la clé API.
- Cliquez sur la valeur de la clé pour la copier.
- Enregistrez la valeur de la clé. Vous ne pourrez pas la récupérer plus tard.
- Dans le champ Ajouter une note, saisissez l’emplacement où vous avez enregistré la clé, puis cliquez sur Enregistrer ou Terminé.
Rétablir l’accès d’une clé API
L’accès d’une clé API peut être limité si elle n’a pas été utilisée pour créer des transferts ou des versements, ou pour mettre à jour des destinations de versement, pendant plus de 180 jours. Une clé avec un accès limité ne peut pas être utilisée pour ces opérations. Vous pouvez rétablir l’accès afin de réutiliser la clé normalement ou effectuer une action bloquée.
Pour rétablir l’accès d’une clé API
- Dans l’onglet Clés API, cliquez sur le menu de débordement () de la clé que vous souhaitez restaurer.
- Sélectionnez Restaurer l’accès.
- Cliquez sur Restaurer.
Afficher les logs des requêtes API pour une clé
Pour ouvrir les logs des requêtes API, cliquez sur le menu de débordement () associé à une clé, puis sélectionnez Afficher les logs des requêtes. L’ouverture des logs vous redirige vers le Dashboard Stripe.
Passer en mode production
Lorsque vous êtes prêt à accepter des paiements réels, utilisez des clés API en mode production plutôt que des clés d’environnement de test. Sur la page des clés API, passez du mode environnement de test au mode production. La page affiche désormais vos clés API en mode production.
Compléter la checklist de mise en production
Le changement de clés d’API n’est qu’une étape. Consultez la liste de contrôle de mise en production complète pour vous assurer que votre intégration est prête pour la production.
Clés publiables (côté client)
Copiez votre clé publiable en mode production (commençant par pk_), puis remplacez la clé pk_ dans votre code côté client. Il est possible d’intégrer cette clé dans votre code ou vos applications en toute sécurité.
Clés API limitées ou secrètes (côté serveur)
Les clés API côté serveur sont sensibles. Vérifiez donc nos bonnes pratiques pour gérer les clés API secrètes. Nous vous recommandons de générer des clés API limitées pour votre code côté serveur afin de limiter les dommages pour votre entreprise si jamais vos clés sont exposées ou compromises.
- Avant de commencer à utiliser une clé en mode production dans votre application back-end, supprimez toutes les clés API codées en dur de votre code. Utilisez plutôt un coffre-fort de secrets ou une variable d’environnement pour fournir la clé d’environnement de test, et confirmez que votre application fonctionne toujours. Si votre plateforme ne fournit pas de coffre-fort de secrets, vous pouvez utiliser une variable d’environnement.
- Révélez et copiez vos clés de mode production (qui commencent par
rk_oulive_ sk_). Stockez la valeur de la clé en toute sécurité dans votre environnement serveur.live_ - Configurez l’environnement de votre serveur pour fournir des clés en mode production plutôt que des clés d’environnement de test à votre application.
Clés de signature webhook (côté serveur)
Si vous utilisez des webhooks, mettez à jour l’URL de chaque endpoint de webhook et copiez le nouveau secret de signature dans la section Webhooks du Dashboard.
Politiques d’accès
Vous pouvez restreindre l’accès à une clé en lui associant une politique d’accès. Si une personne tente d’envoyer une requête en utilisant une clé à laquelle elle n’a pas accès, Stripe bloque la requête et vous en informe.
Stripe recommande de configurer des politiques d’accès sur toutes les clés en mode production. Cela vous informe de tout accès non autorisé, afin que vous puissiez renouveler les clés en conséquence.
Vous pouvez gérer l’accès en attribuant différentes politiques à différentes clés. Par exemple, vous pouvez faire la distinction entre les environnements de test et de production en attribuant différentes politiques à leurs clés respectives.
Types de politiques d’accès
Stripe prend en charge les types de politiques d’accès suivants :
- Adresses IP : restreignez l’accès à une ou plusieurs adresses IPv4 ou plages CIDR spécifiques. Utilisez cette approche si vos serveurs disposent d’adresses IP fixes.
- Avancé : restreignez l’accès par numéro de système autonome (ASN), pays et catégories de menaces courantes. Si vous effectuez une mise à l’échelle dynamique, vous pouvez fournir un accès à votre fournisseur de cloud à l’aide de l’ASN et du pays.
Une politique d’accès avancée peut utiliser n’importe quelle combinaison des règles suivantes :
- ASN à autoriser : les requêtes provenant des ASN spécifiés sont autorisées ; toutes les autres sont bloquées.
- Pays : les requêtes provenant des pays spécifiés sont autorisées ; toutes les autres sont bloquées.
- Sources : les requêtes provenant des sources sélectionnées sont bloquées. Vous pouvez sélectionner les sources suivantes :
- VPN anonymes : services VPN tiers vendus pour la confidentialité et l’anonymat (hors VPN d’entreprise). Envisagez de les bloquer si vous n’utilisez pas de VPN pour accéder à l’API Stripe.
- Proxys publics : serveurs proxy ouverts issus de listes publiques. Envisagez de les bloquer si vous n’utilisez pas de proxys publics pour accéder à l’API Stripe.
- Proxys résidentiels : proxys associés aux FAI résidentiels. Envisagez de les bloquer si vous n’utilisez pas de FAI résidentiels pour accéder à l’API Stripe.
- Nœuds de sortie Tor : trafic provenant du réseau Tor. Envisagez de les bloquer si vous n’accédez pas à l’API Stripe via Tor.
La sélection de plusieurs règles les combine à l’aide d’une logique AND. Par exemple, si vous autorisez l’ASN 16509 (Amazon), autorisez les États-Unis et bloquez les nœuds de sortie Tor, la politique n’autorise que les requêtes provenant d’adresses IP AWS aux États-Unis qui ne sont pas connues comme étant des nœuds de sortie Tor. Elle bloque toutes les autres requêtes.
Créer une politique d’accès
Pour créer une politique d’accès, accédez à la page Politiques d’accès API dans votre Dashboard et suivez ces étapes :
- Cliquez sur + Créer une politique.
- Saisissez un nom (par exemple, « Serveurs de production ») et une description facultative.
- Sélectionnez Adresses IP ou Avancé.
- Selon le type sélectionné, configurez la politique :
- Adresses IP : saisissez une ou plusieurs adresses IPv4 publiques valides ou plages CIDR. Par exemple,
192.couvre la plage 192.0.2.0 à 192.0.2.255.0. 2. 0/24 - Avancé : spécifiez n’importe quelle combinaison d’ASN à autoriser, de pays à autoriser et de sources à bloquer, comme décrit dans la section Types de politiques d’accès.
- Adresses IP : saisissez une ou plusieurs adresses IPv4 publiques valides ou plages CIDR. Par exemple,
- Cliquez sur Suivant.
- Vérifiez les détails de la politique, puis cliquez sur Créer une politique.
- Si vous êtes invité à vous identifier, suivez les instructions à l’écran.
Si la création a réussi, la nouvelle politique s’affiche dans la liste.
Appliquer ou supprimer une politique d’accès
Pour appliquer une politique d’accès à une clé API, accédez à la page Clés API dans votre Dashboard et suivez ces étapes :
- Dans la liste Clés Standard ou Clés limitées, recherchez la clé que vous souhaitez mettre à jour et ouvrez son menu de débordement ().
- Sélectionnez Gérer la politique d’accès.
- Dans la liste déroulante Politique d’accès, sélectionnez la politique souhaitée.
- Vérifiez les détails de la politique sélectionnée, puis cliquez sur Enregistrer.
- Si vous êtes invité à vous identifier, suivez les instructions à l’écran.
Pour supprimer une politique d’accès d’une clé API, accédez à la page Clés API dans votre Dashboard et suivez ces étapes :
- Dans la liste Clés Standard ou Clés limitées, recherchez la clé que vous souhaitez mettre à jour et ouvrez son menu de débordement ().
- Sélectionnez Gérer la politique d’accès.
- Dans la liste déroulante Politique d’accès, sélectionnez Aucune.
- Cliquez sur Enregistrer.
Mettre à jour une politique d’accès
Pour apporter des modifications à une politique d’accès, accédez à la page Politiques d’accès API dans votre Dashboard et suivez ces étapes :
- Trouvez la politique que vous souhaitez modifier et ouvrez son menu de débordement ().
- Sélectionnez Modifier la politique.
- Mettez à jour les options de la politique comme décrit dans Créer une politique d’accès, puis cliquez sur Suivant.
- Vérifiez les détails de la politique, puis cliquez sur Enregistrer.
- Si vous êtes invité à vous identifier, suivez les instructions à l’écran.
Lorsque vous mettez à jour une politique d’accès, les modifications s’appliquent immédiatement à toutes les clés API auxquelles elle est attribuée.
Supprimer une politique d’accès
Pour supprimer une politique d’accès API, accédez à la page Politiques d’accès API dans votre Dashboard et suivez ces étapes :
- Trouvez la politique que vous souhaitez supprimer et ouvrez son menu de débordement ().
- Sélectionnez Supprimer la politique.
- Vérifiez la boîte de dialogue de confirmation pour comprendre l’impact de la suppression, puis cliquez sur Supprimer la politique.
La suppression d’une politique d’accès la supprime immédiatement de toutes les clés API auxquelles elle a été appliquée. Ces clés autorisent les requêtes provenant de n’importe quelle source jusqu’à ce que vous leur appliquiez une autre politique.