Aller au contenu principal

Sécurité

Intégrer l'iframe en production nécessite une compréhension claire des deux identifiants que nous émettons et comment garder celui qui est public-facing en sécurité.

Les deux clés

Quand vous recevez les identifiants, vous obtenez deux clés distinctes :

  • Clé iframe (identifiant de société) : utilisée dans l'URL iframe comme ?company=XXX.
  • Jeton API S2S : utilisé pour les requêtes serveur à serveur (récupération de rapports diagnostiques, génération de clés temporelles, etc.).

La clé iframe voyage en texte clair dans l'URL. Sur une page web, n'importe qui inspectant le DOM peut la lire. Le risque est plus faible sur les applications mobiles natives où l'URL n'est pas directement inspectable, mais le principe s'applique toujours : traitez la clé iframe comme une identifiant public et faites-la tourner à travers des alternatives éphémères autant que possible.

Le jeton API S2S, en contraste, ne doit jamais quitter votre backend.

Identifiants de société temporels

Pour prévenir l'utilisation non autorisée de votre clé iframe, l'API vous permet de générer des clés temporelles de courte durée. En utilisant le jeton API S2S, votre backend crée un nouvel identifiant de société pour chaque chargement d'iframe et lui donne une courte expiration (par exemple 10 minutes). Même si la clé temporelle est interceptée, elle devient rapidement invalide.

Point de terminaison

  • Méthode : POST
  • Chemin : /company-app-keys
  • URL complète : votre URL de base de l'API S2S Company + /company-app-keys (par ex. https://api.example.com/s2s/v3/company/company-app-keys)

En-têtes requis

  • X-API-TOKEN: <your S2S API token>
  • accept: application/json

Corps de la requête

  • appKey : la valeur de clé d'application que vous voulez enregistrer. Doit être au moins 64 caractères alphanumériques. Générez-le avec une source aléatoire cryptographiquement sécurisée.
  • expiresAt : date/heure d'expiration au format ISO-8601 (par ex. 2026-12-31T23:59:59+00:00).
{
  "appKey": "my-secure-app-key-that-is-at-least-64-characters-long-1234567890abcdef",
  "expiresAt": "2026-12-31T23:59:59+00:00"
}

Exemple cURL

curl -X POST "https://api.example.com/s2s/v3/company/company-app-keys" \
  -H "X-API-TOKEN: YOUR_S2S_TOKEN" \
  -H "accept: application/json" \
  -d '{
    "appKey": "my-secure-app-key-that-is-at-least-64-characters-long-1234567890abcdef",
    "expiresAt": "2026-12-31T23:59:59+00:00"
  }'

Réponse en cas de succès

HTTP 201 Created:

{
  "success": true,
  "message": "App Key created",
  "data": {
    "appKey": "my-secure-app-key-that-is-at-least-64-characters-long-1234567890abcdef",
    "expiresAt": "2026-12-31T23:59:59+00:00"
  },
  "errorCode": null
}

Utilisation de la clé générée dans l'URL de l'iframe

La appKey retournée dans la réponse est la valeur que vous mettez dans le paramètre de requête company de l'iframe:

<iframe src="https://iframe.legit.health/?company=APP_KEY_FROM_RESPONSE"></iframe>

En résumé, le flux de travail est:

Pour la liste complète des paramètres qui peuvent accompagner company dans l'URL, voir la page Personnaliser.

Étapes suivantes

  • Personnaliser l'apparence ou le comportement de l'iframe ? Voir la page Personnaliser.
  • Prêt à intégrer sur votre plateforme ? Voir la section Plateformes.
  • Besoin de gérer les rappels après analyse ? Voir la section Rappels.