Clés API
Les clés API sont la façon dont tout ce qui se trouve en dehors de l'interface d'administration SecureCodingHub parle à la surface REST publique et webhook. La page d'administration émet des clés, liste les clés actives et révoquées, et révoque des clés individuelles. La référence complète de ce que chaque clé peut réellement faire vit dans API → Authentification et portées.
Où cela se trouve
Barre latérale → Clés API sous la section Intégrations, à /organization/api-keys.
Création d'une clé
Cliquez sur + Créer une nouvelle clé. Le dialogue demande :
- Nom — court libellé qui apparaît dans la liste des clés et dans les entrées du journal d'audit. Utilisez quelque chose de descriptif (« CI/CD GitHub Actions », « BI Looker sync », « Jira ticketing »).
- Portées — permissions fines, regroupées par ressource. Les 16 portées sont documentées dans API → Authentification et portées. Choisissez uniquement ce dont l'intégration a besoin.
- Expiration (facultatif) — date après laquelle la clé cesse de fonctionner. Utile pour les preuves de concept et les évaluations fournisseur. Laissez vide pour les clés qui doivent rester valables jusqu'à révocation manuelle.
À la soumission, le dialogue affiche le token complet (scs_live_…) une fois. Copiez-le immédiatement dans votre gestionnaire de secrets. Après fermeture du dialogue, seuls le préfixe et les quatre derniers caractères restent visibles — le serveur ne stocke que le hash SHA-256, donc même le support SecureCodingHub ne peut pas récupérer le token complet par la suite.
Liste et inspection des clés
La vue liste affiche chaque clé active et révoquée pour votre organisation. Colonnes :
| Colonne | Description |
|---|---|
| Nom | Le libellé que vous avez donné à la clé à la création. |
| Préfixe … 4 derniers | Les 13 premiers et 4 derniers caractères du token. Suffisant pour reconnaître une clé sans la récupérer. |
| Portées | Les permissions fines sur la clé. Survolez pour la liste complète quand il y en a beaucoup. |
| Créée par / le | L'administrateur qui a émis la clé et quand. |
| Dernière utilisation | Horodatage de l'appel API réussi le plus récent contre cette clé. Vide pour les clés jamais utilisées. |
| Statut | Active, Expirée ou Révoquée. |
Révocation d'une clé
Cliquez sur Révoquer sur une ligne de clé. La révocation est immédiate — les requêtes en vol utilisant la clé commencent à recevoir 401 unauthorized en quelques secondes. Il n'y a pas d'état « pause » et aucun moyen d'annuler la révocation ; la révocation est permanente. Le journal d'audit capture l'action comme apikey.revoked avec l'identité de l'acteur.
Si une clé a fuité, révoquez-la. Si vous devez faire tourner une clé sans temps d'arrêt, créez d'abord le remplacement, déployez le nouveau token, et ne révoquez l'ancien qu'après que le nouveau a enregistré au moins un horodatage de Dernière utilisation réussi.
Limites de débit par clé
Chaque clé est régie par deux fenêtres glissantes : 60 requêtes par minute et 1 000 requêtes par heure. Les requêtes au-delà de l'une ou l'autre fenêtre renvoient 429 rate_limited avec un en-tête Retry-After. Les limites sont par clé, donc émettre une clé par intégration est aussi un moyen d'empêcher une automatisation bruyante d'en affamer une autre. Conseils complets sur les réessais à API → Limites de débit.