Liste de vérification pour la mise en production

Stripe a conçu ses environnements de production et de bac à sable pour qu’ils fonctionnent de la manière la plus similaire possible. Pour passer de l’un à l’autre, il suffit surtout d’échanger vos clés API.

Si vous êtes développeur, ou qu’un développeur crée une intégration pour vous, suivez les conseils ci-dessous avant la mise en production. Si vous utilisez Stripe par l’entremise d’un site Web connecté ou d’un module d’extension, la plupart de ces conseils ne seront pas pertinents.

• Définir la version de l’API

  Alerte

  Toutes les requêtes utilisent les paramètres d’API de votre compte, sauf si vous remplacez la version de l’API. Le journal des modifications répertorie toutes les versions disponibles. Notez que par défaut, la structure des événements est définie en fonction de la version d’API de votre compte, sauf si vous définissez une version d’API lors de la création du point de terminaison.

  Si vous utilisez un langage fortement typé (Go, Java, TypeScript, .NET), la bibliothèque côté serveur sélectionne la version de l’API en fonction de la version de la bibliothèque utilisée. Si vous ne savez pas comment Stripe gère le contrôle des versions, veuillez vous reporter à la documentation relative aux versions.

  Pour vérifier que tout est synchronisé :

  • Installez la dernière version de l’API dans Workbench au sein du Dashboard
  • Pour les langages dynamiques (Node.js, PHP, Python, Ruby) : définissez la version de l’API dans la bibliothèque côté serveur
  • Pour les langages fortement typés (Go, Java, TypeScript, .NET) : installez la dernière version de la bibliothèque de votre choix
• Gérer les cas particuliers

  Nous avons créé plusieurs valeurs de test que vous pouvez utiliser pour reproduire différents états et réponses. Outre ces options, faites preuve de vigilance et testez votre intégration avec ce qui suit :

  • Des données incomplètes
  • Des données non valides
  • Des données dupliquées (par exemple, relancez la même requête pour voir ce qui se passe). Nous vous conseillons également de faire tester votre intégration par un tiers, en particulier si ce tiers n’est pas développeur lui-même.
• Vérifier le traitement des erreurs d’API

  Il est toujours dommage de découvrir en mode production que votre code n’a pas été écrit de manière à prendre en charge tous les types d’erreurs possibles, y compris ceux qui ne devraient « jamais » se produire. Vérifiez bien que votre code est préventif et qu’il traite toutes les erreurs possibles, pas seulement les plus courantes.

  Lorsque vous testez votre processus de traitement des erreurs, portez une attention toute particulière aux informations qui sont présentées à l’utilisateur. Une carte refusée (à savoir, card_error) n’est pas la même chose qu’une erreur qui touche votre système dorsal (par exemple, invalid_request_error).

• Vérifier vos journaux

  Stripe consigne toutes les requêtes effectuées avec vos clés API, qui peuvent être consultées dans le Dashboard. Nous vous recommandons de consigner également toutes les données importantes de votre côté, malgré la redondance apparente. Vos propres journaux vous seront d’une aide précieuse si votre serveur ne peut pas se connecter à Stripe ou s’il y a un problème avec vos clés API, auxquels cas. Dans l’un de ces cas, nous ne pourrions consigner votre requête.

  Vérifiez régulièrement que vos journaux sauvegardent uniquement les informations dont vous pourriez avoir besoin et qu’ils ne sauvegardent aucune information confidentielle (par exemple, des informations de carte de crédit ou des informations d’identification).

• Veillez à ne pas utiliser des objets de test

  Les objets Stripe créés dans un environnement de bac à sable, tels que les offres, les bons de réduction, les produits et les unités de gestion des stocks, ne sont pas utilisables en mode production. Cette mesure permet d’éviter que vos données de test ne soient utilisées par inadvertance dans votre code de production. Lorsque vous recréez les objets nécessaires en mode production, assurez-vous d’utiliser les mêmes valeurs d’ID (par exemple, le même ID d’offre, pas le même nom) pour garantir que votre code continue de fonctionner sans problème.

• Vérifier que vous avez enregistré vos liens de rappel de production

  Votre compte Stripe peut avoir des points de terminaison de lien de rappel de test et de production. Si vous utilisez des liens de rappel, assurez-vous d’avoir défini des points de terminaison de production dans votre compte Stripe. Confirmez ensuite que le point de terminaison de production fonctionne exactement comme votre point de terminaison de test.

  Lors de l’examen de l’état de vos liens de rappel, vérifiez également que votre point de terminaison de production :

  • Traite bien les notifications de liens de rappel en retard
  • Traite bien les notifications de liens de rappel en double
  • N’exige pas que les notifications d’événements surviennent dans un ordre particulier
• Vous abonner à la liste de distribution des annonces relatives aux API

  Nous conseillons à tous les développeurs de s’abonner à notre liste de diffusion des mises à jour sur les API pour se tenir informés des nouvelles fonctionnalités.

• Changer et sécuriser vos clés API

  Par mesure de sécurité, nous vous recommandons d’échanger vos clés API régulièrement, ainsi que juste avant le passage en production, au cas où elles auraient été enregistrées en dehors de votre base de codes pendant le développement. Assurez-vous qu’à la fin du processus, vos clés API ne soient pas représentées ou stockées à plusieurs endroits (ce qui peut générer des bogues) notamment dans votre logiciel de contrôle des versions.