Sécurité des appels API
VetCoreSolution® applique les bonnes pratiques de sécurité pour garantir la confidentialité et l’intégrité des échanges entre les intégrateurs et l’API.
1Authentification et durée de validité
L’authentification repose sur des tokens JWT émis à la suite d’un appel au endpoint
/api/account/login- Le token JWT a une durée de vie de 5 minutes
- Un refresh token valide pendant 30 minutes est également délivré
- Tous les échanges se font exclusivement via HTTPS (TLS)
Les tokens sont envoyés automatiquement dans des cookies HttpOnly sécurisés, mais peuvent aussi être transmis manuellement dans les headers pour les cas d’intégration backend.
2Renouvellement de token
Le renouvellement du token JWT s’effectue via l’appel au endpoint `/api/account/refresh-token`.
POST https://vetcoresolution.com/api/account/refresh-token
Content-Type: application/json
{
"refreshToken": "yourRefreshTokenHere",
"withHttpOnlyCookie": true
}Si vous utilisez les cookies HttpOnly, vous pouvez omettre le champ `refreshToken`. Le serveur le récupérera automatiquement dans le cookie sécurisé.
3Sécurité des échanges
Toutes les communications sont protégées par TLS et passent uniquement par HTTPS. Le service utilise un CORS, sans impact sur les appels côté client si hors navigateur.
Les intégrateurs sont responsables de la gestion sécurisée des identifiants et refresh tokens si ceux-ci sont manipulés côté client.
4Limitation de débit
Des règles de limitation sont appliquées sur certains endpoints (login, refresh, etc.) afin de prévenir les abus ou attaques par force brute.
Ces limites sont larges et adaptées à un usage normal d’un client automatisé.