Créer et gérer ses tokens d'accès
Générez des jetons d'accès à l'API, choisissez leurs permissions et sécurisez vos intégrations avec des tokens en lecture seule.
Un token (ou jeton d'accès) est la clé qui autorise un outil à dialoguer avec l'API Shyfter. Chaque intégration utilise son propre token, avec ses propres droits. Bien gérer ses tokens, c'est garder la maîtrise de qui accède à quoi, et pouvoir couper un accès à tout moment.
Créer un token
Depuis la plateforme Open API, ouvrez la section API Tokens puis créez un nouveau token. Vous pouvez en générer pour un usage personnel ou pour un intégrateur tiers. Chaque token porte un nom, ce qui vous permet de savoir facilement à quel outil il correspond.
Choisir les permissions
Au moment de créer un token, vous décidez précisément à quoi il donne accès. Les permissions correspondent aux grands domaines de Shyfter, par exemple :
- le planning (shifts et horaires) ;
- le pointage (suivi du temps) ;
- les sections ;
- les compétences ;
- les contrats ;
- la gestion des absences ;
- les attributs personnalisés ;
- la productivité (chiffre d'affaires).
Un token ne peut accéder qu'aux domaines que vous lui avez accordés. Les permissions s'appliquent au niveau du compte (elles valent pour tous les départements auxquels le token a accès).
Les tokens en lecture seule
Vous pouvez marquer un token comme lecture seule. Il pourra alors uniquement consulter les données, jamais les modifier. C'est le bon réflexe pour une intégration qui n'a besoin que de récupérer des informations (un tableau de bord, un export), afin d'éviter toute modification accidentelle.
Bonnes pratiques de sécurité
- Créez un token par intégration : vous pouvez ainsi en révoquer un sans impacter les autres.
- Donnez le minimum de permissions nécessaires à chaque usage.
- Privilégiez la lecture seule dès que l'outil n'a pas besoin d'écrire.
- Supprimez immédiatement un token qui n'est plus utilisé ou qui aurait pu être exposé.
Bon à savoir sur les limites
Pour préserver la stabilité du service, l'API applique une limite de 60 requêtes par minute et par token. Si vos outils dépassent ce rythme, les requêtes en trop sont temporairement refusées : mieux vaut espacer les appels. En cas d'erreur inhabituelle, chaque réponse contient un identifiant de suivi que le support peut utiliser pour vous aider.
Un token est une donnée sensible, au même titre qu'un mot de passe. Ne le partagez jamais en clair et ne l'inscrivez pas dans un endroit public.