Jetons personnels
Si vous prévoyez d’embaucher un développeur pour créer un script personnalisé, une application de bureau ou l’intégration d’une application Web pour votre boutique Retail POS, il devra avoir accès aux données de votre boutique par l’intermédiaire de l’API Retail POS. Vous pouvez lui fournir cet accès en créant un jeton personnel. Il s’agit d’un code unique qui permet au développeur d’accéder aux données dont il a besoin et qui vous permet de gérer ces intégrations individuellement.
Remarque
Les jetons ne doivent pas être utilisés comme moyen d’authentification principal pour les applications Web. Ces applications doivent utiliser l’autorisation OAuth 2.0 comme décrit dans notre documentation pour les développeurs.
Qu’est-ce qu’un jeton personnel?
Le jeton personnel est l’équivalent d’un mot de passe et permet à une personne d’accéder à votre compte Retail POS via l’API Retail POS. Bien qu’il ne donne pas accès à l’écran de ventes, il fournira le même niveau d’accès aux données qu’un utilisateur administrateur.
Important
En fournissant ce jeton à un développeur, celui-ci aura accès à toutes les données de votre boutique. Veillez à envoyer cette information en privé et à ne pas la partager publiquement.
Comment en créer un?
Pour créer un jeton, accédez à la section Setup (configuration), puis cliquez sur Personal Tokens (jetons personnels)
Cliquez sur Add Personal Token (ajouter un jeton personnel)
Saisissez les renseignements demandés :
Token name (nom du jeton) : Dans ce champ, saisissez un nom à titre de référence. Veillez à le rendre unique pour éviter toute erreur si vous avez plusieurs jetons actifs.
Expiry date (date d’expiration) : Cette option sera désactivée par défaut. Toutefois, si vous souhaitez que l’intégration personnalisée ou le script puisse accéder à vos données pendant une durée limitée, vous pouvez ajouter une date d’expiration au jeton.
Une fois cette opération effectuée, cliquez sur Generate Personal Token (générer un jeton personnalisé). Vous pouvez ensuite copier le jeton pour l’envoyer à votre ou vos développeurs.
Une fois le jeton enregistré, vous ne pourrez plus afficher vos jetons personnels sur la page des jetons personnels. Tous vos jetons existants continueront à fonctionner comme d’habitude.
Si vous créez plusieurs applications pour votre boutique, nous vous recommandons de créer un jeton pour chaque application.
Important
Si le jeton que vous avez fourni à un développeur expire, l’intégration qu’il a construite ne fonctionnera plus. Vous pouvez prolonger ou supprimer la date d’expiration en modifiant le jeton actuel ou en en créant un autre.
Si vous avez besoin d’une utilisation à long terme, il est préférable d’utiliser l’autorisation OAuth 2.0 comme expliqué dans notre documentation pour les développeurs.
Chaque demande envoyée à l’API Retail POS doit être autorisée. Pour ce faire, le meilleur moyen est d’ajouter l’en-tête Authorization (autorisation), comme pour les jetons OAuth :
Authorization: Bearer _here_goes_your_token_ (Autorisation : Titulaire _voici_votre_jeton_)
Meilleures pratiques pour la gestion des jetons personnels :
Supprimer les jetons personnels inutilisés :
Veillez à supprimer tout jeton personnel inutilisé. Les jetons personnels donnent un accès complet à la boutique du marchand. En supprimant tous les jetons inutilisés, vous réduisez le risque d’abus à l’avenir.
Effectuer une rotation périodique des jetons personnels :
Il est préférable de modifier régulièrement les jetons d’accès personnels. Pour faciliter cette opération, nous avons apporté une modification à l’interface utilisateur du jeton personnel dans Retail POS qui affiche l’âge du jeton. Par exemple, 30 jours (vert), 90 jours (jaune), 180 jours (rouge). Vous pouvez également définir un nombre de jours après lequel les jetons « inactifs » deviendront rouges.
Ne vous servez pas de jetons personnels pour une utilisation à long terme :
Dans la plupart des cas, vous n’aurez pas besoin d’un jeton d’accès personnel à long terme sans date d’expiration. Au lieu de cela, vous pouvez générer des identifiants par le biais du portail des développeurs de Retail POS. Ces identifiants sont constitués d’une clé d’accès et d’une clé secrète, mais ils comprennent également un jeton qui vous permet de renouveler automatiquement la clé d’accès lorsqu’elle expire.
Si vous avez besoin d’une utilisation à long terme, il est préférable de recourir à l’autorisation OAuth 2.0 comme expliqué dans notre documentation pour les développeurs.
Comprendre votre utilisation de jetons personnels :
Si un jeton personnel est créé sous votre utilisateur Retail POS, attribuez-lui un nom descriptif afin de savoir où il est utilisé. Si le jeton personnel doit être modifié, vous devez savoir comment effectuer une rotation ou le modifier. Si vous ne savez pas comment faire pivoter ou changer un jeton, une application serait probablement plus appropriée.
Définir une date d’expiration pour chaque jeton personnel que vous créez :
Assurez-vous d’avoir défini une date d’expiration pour chaque jeton personnel que vous créez. Les jetons personnels ne sont pas destinés aux intégrations d’applications et ne doivent donc être accessibles que pendant une durée limitée.
Pour toute question concernant les jetons personnels ou l’API en général, veuillez communiquer avec notre équipe chargée des relations avec les développeurs à l’adresse suivante : api@vendhq.com.