Renew Secret API

Toutes les requêtes adressées aux APIs Lucky FastPay doivent être authentifiées via l’en-tête HTTP `X-Secret`

Utilisation de la clé secrète (X-Secret)

Exemple d’en-tête

Une clé secrète unique est associée à chaque compte d’opération.
Elle est utilisée pour authentifier toutes les requêtes API.
Elle est temporaire et doit être renouvelée périodiquement.

X-Secret: sk_live_87e1f459-35e7-4047-8847-20c0d69da13c

Point de terminaison

Méthode POST

Url de base https://api.luckyfastpay.pro/v2

Chemin /{codeUrl}/renew-secret

Pré-requis

Votre profil marchand est validé.
Vous disposez du mot de passe d’opération requis pour la rotation.

Séquence de renouvellement

Vous appelez l’endpoint `renew-secret` avec les paramètres requis.
Lucky FastPay génère une nouvelle clé

Paramètres requis

Envoyez les paramètres en `application/x-www-form-urlencoded`.

Paramètres

Nom	Emplacement	Type	Obligatoire	Description
`accountOperationCode`	query	string	Oui	Code du compte d'opération
`password`	query	string	Oui	Le mot de passe associé à l'api
`codeUrl`	path	string	Oui	Code url marchand

Exemples

Exemple de requête

curl --location 'https://api.luckyfastpay.pro/v2/XXXXXXXX/renew-secret' \
--header 'Content-Type: application/x-www-form-urlencoded' \
--data-urlencode 'operationAccountCode=ACC_PROD_001' \
--data-urlencode 'password=********'

Réponse de confirmation

{
  "operation_account_code": "ACC_PROD_001",
  "secret": "sk_live_xxxxxxxxxxxxxxxxxxx",
  "expires_in": 3600
}

Comportement et idempotence

Chaque appel validé génère une nouvelle clé. Par défaut, considérez l’ancienne clé comme obsolète dès activation de la nouvelle.
Si vous mettez en place un chevauchement (grace period), veillez à documenter la durée et le mode de bascule côté serveur.
En cas d’appels répétés (doublons), la dernière clé reçue est celle à utiliser.

Bonnes pratiques de sécurité

N’exposez jamais la clé côté client (web, mobile).
Utilisez un gestionnaire de secrets (ex: Vault, AWS Secrets Manager).
Autorisez uniquement des IPs de confiance vers votre URL de réception.
Surveillez les tentatives échouées et limitez la fréquence des rotations.
Réagissez à `AUTHENTICATION_FAILED` en déclenchant un renouvellement contrôlé.

Environnements

Test: utilisez vos URLs et comptes d’opération de test.
Production: remplacez URL/compte/clé de test par vos équivalents de production.

Erreurs fréquentes

HTTP Code Cause Exemple

401

AUTHENTICATION_FAILED

Clé expirée ou incorrecte

{
  "date": "23102024-153045",
  "status_code": 401,
  "error": "AUTHENTICATION_FAILED",
  "message": "Invalid or expired secret key.",
  "path": "/{codeUrl}/renew-secret"
}

403

SECRET_KEY_RECEPTION_URL_NOT_ACTIVE

L’URL de réception n’est pas active

{
  "date": "23102024-153045",
  "status_code": 403,
  "error": "SECRET_KEY_RECEPTION_URL_NOT_ACTIVE",
  "message": "Reception URL is disabled for this account.",
  "path": "/{codeUrl}/renew-secret"
}

400

INVALID_SECRET_KEY_RECEPTION_URL_CODE

Code d’URL invalide dans la requête

{
  "date": "23102024-153045",
  "status_code": 400,
  "error": "INVALID_SECRET_KEY_RECEPTION_URL_CODE",
  "message": "Provided receptionUrlCode is not valid.",
  "path": "/{codeUrl}/renew-secret"
}

FAQ

Dois-je répondre à la livraison de clé ? → Oui, répondez 200 pour confirmer la réception.
Combien de temps la clé est-elle valable ? → Définissez une politique interne claire.
Que faire en cas de perte de la clé ? → Renouvelez immédiatement et purgez la clé compromise.