Gérer mes tokens d'API Lightyshare

Pour utiliser l'API Lightyshare, il te faut un token. C'est la clé qui authentifie tes requêtes à la place de ton mot de passe. Voici comment en générer un, l'utiliser sereinement et le révoquer si besoin.

C'est quoi un token API ?

Un token, c'est un mot de passe spécifique que tu donnes à un outil tiers (ton ERP, un script, un Zapier, etc.) pour qu'il agisse sur ton compte Lightyshare via l'API. Trois différences avec ton vrai mot de passe :

  • Scopable : tu choisis ce qu'il a le droit de faire (lecture seule, ou lecture-écriture).
  • Révocable à tout moment, sans toucher à ton mot de passe principal.
  • Multiple : tu peux en créer un par intégration pour cloisonner les usages.

Où générer un token

Depuis ton espace boutique, rubrique API : lightyshare.com/shop/api.

Créer un token

  1. Clique sur Créer un token.
  2. Donne-lui un nom descriptif qui rappelle l'intégration (ex. Notion-sync, Zapier-factures, ERP-stock).
  3. Choisis la portée : lecture seule (recommandée par défaut) ou lecture-écriture si l'outil doit créer/modifier des données.
  4. Copie immédiatement la valeur affichée. Elle ne te sera jamais remontrée après cet écran.

Si tu fermes la fenêtre sans copier le token, il faudra en regénérer un. C'est une mesure de sécurité standard.

Stocker un token en sécurité

  • Dans une variable d'environnement (.env non commité) ou un secret manager (Doppler, 1Password, AWS Secrets Manager, GCP Secret Manager…).
  • Jamais en dur dans le code source, dans un commit Git, dans un message Slack ou un ticket.
  • Si tu utilises un no-code (Zapier, Make, n8n), stocke-le dans le coffre-fort intégré de l'outil.

Révoquer un token

Depuis la même page lightyshare.com/shop/api, retrouve le token dans la liste et clique sur Révoquer. La révocation est immédiate : toute requête avec ce token reçoit ensuite une erreur 401.

Bonnes pratiques

  • Un token par intégration. Évite le token unique "à tout faire" : si tu dois en révoquer un, tu ne casses qu'une seule intégration.
  • Portée minimale. Dans 90 % des cas, la lecture suffit. Ne mets de l'écriture que si l'outil en a vraiment besoin.
  • Rotation régulière : recrée tes tokens tous les 6 mois minimum, et après chaque départ d'un collaborateur qui y avait accès.
  • Surveille les usages anormaux dans les logs (volumes inhabituels, horaires suspects, IP inconnue).

Token compromis ?

Si tu as un doute (commit Git public, fuite sur un canal Slack, mail au mauvais destinataire) :

  1. Révoque immédiatement le token concerné depuis l'UI.
  2. Crée-en un nouveau et mets à jour l'intégration.
  3. Vérifie l'historique d'utilisation pour détecter une activité suspecte.
  4. Si tu vois des actions non autorisées, contacte le support à hello@lightyshare.com.
Est-ce que cela à répondu à votre question ? Merci pour votre feedback There was a problem submitting your feedback. Please try again later.

Besoin de plus d'aide ? Nous contacter Nous contacter

Related Articles