L'intégration API nécessite non seulement un contrôle d'accès, mais aussi une garantie de l'authenticité et de l'intégrité de chaque requête. Pour ce faire, nous prenons en charge les signatures HMAC (Hash-based Message Authentication Code), ainsi que le cryptage du corps et des paramètres de requête, assurant la protection des données même lorsqu'elles sont transmises via des réseaux ouverts.
Avec HMAC, chaque partie (client et serveur) confirme que la demande a été créée par une partie autorisée, n'a pas été modifiée en cours de route et a un contenu crypté.
Ce qui a été réalisé
| Mécanisme | But et avantages |
|---|---|
| Signatures HMAC | Signature de chaque requête à l'aide d'une clé secrète |
| Contrôle de l'intégrité | Vérifier que le contenu n'a pas été modifié pendant le transfert |
| Chiffrement du corps de requête | Utilisation d'AES ou de RSA pour protéger les données confidentielles |
| Signature avec timestamp's | Protection contre les attaques répétées et retardées (replay attack) |
| Signature des paramètres de la requête | Valider query string et payload via la fonction de hachage |
Comment ça marche
1. Le client forme le corps de la requête et ajoute timestamp
2. Est calculé par HMAC (par exemple, SHA256) sur la base du secret et du contenu
3. La signature est ajoutée au titre (par exemple, « X-Signature »)
4. Le serveur vérifie la signature, le timstamp et l'IP valide
5. Si la signature correspond, la demande est exécutée, sinon elle est rejetée
Avantages pour les intégrations API
Protection contre la substitution ou la déformation d'une requête
Possibilité d'interagir en toute sécurité sans TLS (sur réseaux fermés)
Confiance accrue dans le canal de données
Indépendance vis-à-vis d'une plate-forme ou d'une langue spécifique
Implémentation flexible pour différents types de clients: guichets, passerelles, fournisseurs
Où est particulièrement important
Intégration avec les systèmes de paiement, de caisse ou de fiscalité
API fonctionnant dans un environnement multiarend ou partenaire
Systèmes exigeant davantage de vérification des demandes
Interaction entre les services internes sans autorisation permanente
La signature et le cryptage HMAC est votre cadenas API contre la contrefaçon et l'intervention. Ces mécanismes permettent une intégration fiable, même dans un contexte de sécurité accrue.