API Key Management
Advanced Ecosystem 🟡 MidDefinition
Bonnes pratiques de gestion des clés API : génération sécurisée, stockage hashé côté serveur, rotation régulière, scoping des permissions et révocation.
Analogie
Des clés de voiture numérotées avec un registre : on sait qui a quelle clé, on peut la désactiver à distance.
Exemple de code
const apiKey = `sk_live_${crypto.randomBytes(32).toString('hex')}`;
// Store only hash in DB
const hash = crypto.createHash('sha256').update(apiKey).digest('hex');
await db.insert({ hash, userId, permissions: ['read'], expiresAt });Cas d'usage
Fournir un accès programmatique à votre API avec traçabilité et contrôle granulaire.
Anti-pattern
Stocker les clés API en clair dans la base de données ou les committer dans le code source.