Gestion des ClientSecret et clés de configuration d'accès

Pour la gestion des authentifications et autorisations, les API Silae REST utilisent des ClientSecret, des clés de configuration d'accès API et des access_token. Cette fiche apporte quelques précisions sur ces aspects.

ClientSecrets

Les ClientSecrets ont une durée d'expiration d'un an à compter de la génération du ClientSecret.
Pendant les 31 jours qui précèdent la date d'expiration d'un ClientSecret, un header supplémentaire est renvoyé lors des réponses aux appels sur les endpoints des API REST. Ce header quand il est présent permet de savoir qu'on approche de sa date d'expiration, et indique à quelle date le header expirera.

Les 2 headers sont les suivants :

• Pour le ClientSecret principal : X-PrimaryKeyExpirationWarning
• Pour le ClientSecret secondaire : X-SecondaryKeyExpirationWarning
  Le format de la date renvoyée via ces headers est : "JJ/MM/YYYY HH:MM:SS XX" où XX peut être AM ou PM.

Exemple avec Postman :

À l'approche de la date d'expiration, un message s'affichera également à côté de la date d'expiration dans les informations générales du portail API :

• Un message d'avertissement s'affichera en orange à 60 jours de la date d'expiration
• Un message d'alerte s'affichera en rouge si la date d'expiration est dépassée

Exemple :

Clés de configuration d'accès API (Subscription-key)

Les clés de configuration d'accès (également appelées subscription-key) n'expirent pas, il n'est pas nécessaire de les regénérer régulièrement. Il est néanmoins possible de le faire pour des questions de sécurité.

Access_token

Pour pouvoir exploiter les API il est nécessaire d'utiliser un access_token reçu en retour de la requête d'authentification. Cet access_token a une durée de validité de 60 minutes. Au delà de ces 60 minutes l'access_token ne sera plus valide.