Protégez vos clés API
Votre clé sk_live_... donne un accès complet à votre compte. Elle n'a sa place que côté serveur, dans une variable d'environnement ou un gestionnaire de secrets, jamais dans une page web, une application mobile ou un dépôt de code.
# .env (jamais versionné) ZAFEW_API_KEY=sk_live_... ZAFEW_WEBHOOK_SECRET=whsec_...
À faire
- Une clé distincte pour le test et le réel
- Régénérer la clé au moindre doute
- Limiter qui y a accès
À éviter
- Mettre la clé dans le code du navigateur
- La committer dans Git
- La partager par email ou messagerie