Highlights
Les clés API sont désormais révélables. Générez-en une dans votre Dashboard, partez, revenez la semaine suivante, et la clé est toujours là, disponible en un clic. Nous avons également corrigé trois imperfections dans le playground de l'API pour que le reproducteur curl fonctionne réellement.
What's New
API keys you can see again
La plupart des API SaaS ne vous fournissent une clé qu'une seule fois. Perdez-la, régénérez-la. Mettez à jour chaque service qui utilise l'ancienne clé. Redéployez. Vous connaissez la chanson.
Nous n'aimions pas ce fonctionnement. Nous l'avons donc changé.
Les clés créées à partir de maintenant sont fournies avec une copie révélable. Ouvrez votre Dashboard, cliquez sur l'icône en forme d'œil à côté de n'importe quelle clé, confirmez, et la valeur complète pk_live_... s'affiche devant vous. Quinze secondes plus tard, elle se masque automatiquement et disparaît de la page. Chaque révélation est enregistrée dans les journaux d'audit.
Quelques détails qui comptaient pour nous :
- Le chemin qui authentifie vos requests reste un hash à sens unique, inchangé. La copie révélable est un second artefact chiffré (AES-256-GCM) stocké à côté. Si nous devions renouveler la clé de chiffrement, la validation continuerait de fonctionner.
- Les clés créées avant ce changement ne peuvent pas être révélées. Elles n'ont pas de copie chiffrée à lire. Elles continuent de fonctionner indéfiniment via le chemin de hash. Le Dashboard affiche un petit cadenas et une indication "régénérer pour activer", afin que vous sachiez quelles clés disposent de cette nouvelle fonctionnalité.
- Le contrôle d'accès correspond au reste de l'API des clés. Vous pouvez révéler vos propres clés. Un administrateur d'organisation peut révéler n'importe quelle clé de l'organisation. Les membres avec accès en écriture d'équipe peuvent révéler les clés d'équipe. Les rôles en lecture seule ne le peuvent pas.
- Les clés qu'un administrateur d'organisation crée pour un collaborateur sont également révélables, selon les mêmes règles. La fonctionnalité est liée à la clé, et non à l'interface qui l'a créée.
Si vous accumuliez les entrées dans votre gestionnaire de mots de passe pour les clés FourA, vous pouvez arrêter.
The curl reproducer is real curl now
Chaque request que vous construisez dans le playground est accompagnée d'une commande curl prête à être copiée-collée. L'idée est simple : configurez correctement la request dans l'interface, récupérez le curl, insérez-le dans un script, le terminal d'un collègue ou un rapport de bug.
Jusqu'à cette semaine, le curl contenait un espace réservé là où la clé devait se trouver (PASTE_PLAINTEXT_FOR_my-key), et vous deviez le remplir manuellement avant de l'exécuter. Le reproducteur n'était pas un reproducteur. C'était un modèle.
C'est du passé. Pour toute clé révélable, le playground dispose d'un bouton Reveal sur le panneau curl. Cliquez dessus, le texte brut réel s'insère dans le curl, copiez le tout, collez-le dans votre terminal, et il s'exécute. Cliquez à nouveau pour le masquer. La révélation se fait en mémoire pour cette session uniquement, n'est jamais écrite sur le disque, et le panneau curl suit le menu déroulant des clés, de sorte que le changement de clé ne risque pas d'en divulguer une autre. Les anciennes clés non révélables affichent toujours l'espace réservé, car nous ne pouvons pas récupérer leur texte brut.
Cancel button on in-flight requests
Si vous lanciez une request de playground vers un site cible lent, la seule option consistait auparavant à attendre le timeout. Nous avons ajouté un bouton Cancel au panneau de chargement. Cliquez dessus, la request s'interrompt proprement, et la zone de response revient à son état initial avec le message "Request canceled." au lieu d'une erreur inquiétante.
Un détail, certes. Mais le playground ressemble désormais à un véritable outil plutôt qu'à une démo. Vous pouvez tester un site instable, interrompre, ajuster la request, réessayer, sans jamais avoir à attendre.
Under the Hood
Trois corrections mineures sur le bouton Reveal du curl après le déploiement initial : le toast d'erreur affiche un message clair au lieu du code d'erreur brut, le bouton ne peut plus rester bloqué sur "Revealing…" si une autre erreur survient, et un bug de spécificité CSS qui laissait le bouton visible sur les clés ne prenant pas en charge la révélation a été résolu.
Si vous avez rencontré l'un de ces problèmes, ils devraient être résolus. Sinon, vous n'avez rien manqué.
Générez, copiez, collez, oubliez. Revenez plus tard. Le Dashboard s'en souvient.