Sécuriser une clé d’API : les erreurs classiques
Une clé qui fuit, c’est une porte ouverte. Les pièges à éviter.
L’erreur n°1 : commiter une clé dans le dépôt git (même supprimée ensuite, elle reste dans l’historique). Utilisez des variables d’environnement et un fichier .env ignoré par git.
Autres réflexes : restreindre la clé (domaines, IP, scopes), la faire tourner régulièrement, ne jamais l’exposer côté client dans du JavaScript public, et surveiller son usage pour détecter un abus.
Si une clé a fuité, révoquez-la immédiatement plutôt que d’espérer que personne ne l’a vue. Les scanners de secrets parcourent GitHub en continu.