Skip to main content

Générer une clé API en lecture seule

Préversion

Le serveur MCP est actuellement disponible uniquement sur l'environnement de préversion. Toutes les URLs ci‑dessous utilisent api-preview.stoxiio.com.

Traitez votre clé API comme un mot de passe

Votre clé API donne un accès direct à vos données financières — portefeuilles, patrimoine, soldes, et plus encore. Ne la partagez jamais publiquement, ne la commitez pas dans un dépôt et ne la collez pas dans des outils non fiables. Si vous pensez qu'une clé a été compromise, révoquez‑la immédiatement et créez‑en une nouvelle.

Avant de connecter un assistant IA, vous devez créer une clé API avec le scope Read. Cette clé autorise le serveur MCP à récupérer vos données sans pouvoir les modifier.

Option A — Depuis la page Paramètres (recommandé)

La manière la plus simple de créer et gérer vos clés API est directement depuis l'application web Stoxiio :

  1. Connectez‑vous à Stoxiio.
  2. Accédez à Paramètres → Clés API.
  3. Cliquez sur Créer une clé API.
  4. Remplissez :
    • Nom — un libellé pour identifier cette clé (ex. MCP - VS Code).
    • Permissions — sélectionnez Lecture seule pour le MCP.
    • Expiration — choisissez une durée d'expiration (90 jours recommandé) ou pas d'expiration.
  5. Cliquez sur Créer.
  6. Copiez votre clé immédiatement — elle ne sera affichée qu'une seule fois.

Depuis cette même page, vous pouvez également voir toutes vos clés, leur statut et dernière utilisation, et révoquer celles dont vous n'avez plus besoin.

Sauvegardez votre clé

La clé API complète n'est affichée qu'une seule fois lors de la création. Stockez‑la dans un endroit sécurisé (ex. un gestionnaire de mots de passe). Si vous la perdez, vous devrez en créer une nouvelle.

Option B — Via l'API

Vous pouvez également gérer vos clés API de manière programmatique via l'API REST.

Étape 1 — S'authentifier

Vous avez besoin d'un jeton JWT valide pour gérer vos clés API. Connectez‑vous via l'application Stoxiio ou appelez le point d'authentification :

POST https://api-preview.stoxiio.com/users/authenticate
Content-Type: application/json

{
  "email": "[email protected]",
  "password": "votre_mot_de_passe",
  "rememberMe": false
}

Copiez le jeton de la réponse — vous en aurez besoin à l'étape suivante.

Étape 2 — Créer une clé API en lecture seule

Appelez le point de création de clé API avec votre jeton JWT :

POST https://api-preview.stoxiio.com/api-keys
Content-Type: application/json
Authorization: Bearer <votre_jeton_jwt>

{
  "name": "MCP Read-Only",
  "scope": "Read",
  "expiresInDays": 90
}
ChampDescription
nameUn libellé lisible pour vous rappeler à quoi sert cette clé.
scopeDéfinir à "Read" pour le MCP. Autres valeurs : "Write", "Read, Write".
expiresInDaysOptionnel. Nombre de jours avant expiration de la clé. Omettez pour une clé permanente.

La réponse contient votre clé API (préfixée par stx_). Copiez‑la maintenant — elle ne sera plus affichée.

{
  "id": "a1b2c3d4-...",
  "name": "MCP Read-Only",
  "key": "stx_abc123def456...",
  "scope": "Read",
  "expiresAt": "2026-05-09T00:00:00Z"
}
Sauvegardez votre clé

La clé API complète n'est affichée qu'une seule fois lors de la création. Stockez‑la dans un endroit sécurisé (ex. un gestionnaire de mots de passe). Si vous la perdez, vous devrez en créer une nouvelle.

Étape 3 — Vérifier la clé (optionnel)

Testez que votre clé fonctionne en appelant n'importe quel point de lecture :

GET https://api-preview.stoxiio.com/portfolios
X-Api-Key: stx_abc123def456...
Accept: application/json

Vous devriez recevoir une réponse 200 OK avec vos données de portefeuille.

Gérer les clés API

Recommandé

La manière la plus simple de gérer vos clés API est depuis l'application web Stoxiio dans Paramètres → Clés API. Vous pouvez voir, créer et révoquer vos clés sans avoir besoin d'appeler l'API directement.

Si vous préférez gérer vos clés de manière programmatique, vous pouvez utiliser les points de terminaison suivants :

Lister toutes les clés

GET https://api-preview.stoxiio.com/api-keys
Authorization: Bearer <votre_jeton_jwt>
Accept: application/json

Révoquer une clé

DELETE https://api-preview.stoxiio.com/api-keys/<id_de_la_clé>
Authorization: Bearer <votre_jeton_jwt>

Mettre à jour une clé

PUT https://api-preview.stoxiio.com/api-keys/<id_de_la_clé>
Content-Type: application/json
Authorization: Bearer <votre_jeton_jwt>

{
  "name": "Clé renommée",
  "scope": "Read"
}

Fichier .http de référence

Si vous utilisez VS Code avec l'extension REST Client, vous pouvez utiliser ce fichier .http pour gérer rapidement vos clés API :

@HostAddress = https://api-preview.stoxiio.com
@BearerToken = Bearer <votre_jeton_jwt>

### S'authentifier
POST {{HostAddress}}/users/authenticate
Content-Type: application/json

{
  "email": "[email protected]",
  "password": "votre_mot_de_passe",
  "rememberMe": false
}

### Créer une clé API en lecture seule pour le MCP
POST {{HostAddress}}/api-keys
Content-Type: application/json
Authorization: {{BearerToken}}

{
  "name": "MCP Read-Only",
  "scope": "Read",
  "expiresInDays": 90
}

### Lister toutes les clés API
GET {{HostAddress}}/api-keys
Authorization: {{BearerToken}}
Accept: application/json

### Révoquer une clé API
DELETE {{HostAddress}}/api-keys/<id_de_la_clé>
Authorization: {{BearerToken}}

### Tester la clé
GET {{HostAddress}}/portfolios
X-Api-Key: stx_<votre_clé>
Accept: application/json

Bonnes pratiques

Utiliser le scope Read pour le MCP

Le serveur MCP a uniquement besoin de lire vos données — ne créez jamais une clé avec les scopes Write ou Read, Write pour les intégrations IA. En cas de compromission, un scope en lecture seule limite l'impact.

Définir une date d'expiration

Définissez toujours expiresInDays lors de la création d'une clé. Une expiration à 90 jours est un bon défaut. Vous pouvez créer une nouvelle clé et effectuer la rotation avant que l'ancienne n'expire.

Une clé par intégration

Créez une clé distincte pour chaque outil ou appareil :

Nom de la cléUtilisée dans
MCP - VS Code travailVS Code sur votre machine de travail
MCP - Claude CodeClaude Code CLI
MCP - Cursor persoCursor sur votre machine personnelle

Ainsi, si vous devez révoquer l'accès pour un outil, vos autres intégrations continueront de fonctionner.

Rotation régulière des clés

  1. Créez une nouvelle clé avec une nouvelle date d'expiration.
  2. Mettez à jour la configuration de votre client MCP avec la nouvelle clé.
  3. Vérifiez que la nouvelle clé fonctionne.
  4. Révoquez l'ancienne clé.

Ne jamais commiter de clés dans le contrôle de version

Si votre fichier de configuration contient la clé API en clair (ex. .mcp.json pour Claude Code), ajoutez‑le au .gitignore :

.mcp.json

Pour VS Code, la configuration mcp.json utilise des entrées promptString donc la clé n'est jamais écrite sur le disque — c'est l'approche la plus sûre.

Utiliser un gestionnaire de mots de passe

Stockez vos clés API dans un gestionnaire de mots de passe (1Password, Bitwarden, etc.) pour pouvoir les retrouver lors de la configuration d'un nouvel appareil ou de la rotation des clés.

Révoquer les clés inutilisées

Passez régulièrement en revue vos clés dans Paramètres → Clés API et révoquez celles que vous n'utilisez plus. Moins de clés actives signifie une surface d'attaque réduite.

Stocker votre clé en toute sécurité

Votre clé API Stoxiio est un secret qui donne accès à vos données financières. Traitez‑la comme un mot de passe.

VS Code est déjà sécurisé

VS Code utilise une entrée promptString — la clé est saisie une seule fois puis conservée dans le stockage sécurisé de VS Code. Elle persiste entre les redémarrages et n'est jamais écrite dans un fichier de configuration. Aucune étape supplémentaire n'est nécessaire si vous utilisez uniquement VS Code.

Ne laissez pas votre clé en clair

Les autres clients MCP (Claude Code, Cursor, Windsurf…) stockent les configurations dans des fichiers JSON en clair (.mcp.json, ~/.claude.json, .cursor/mcp.json, etc.). Ne codez jamais votre clé API en dur dans ces fichiers — toute personne ayant accès à votre machine ou votre dépôt pourrait la lire.

La plupart des clients MCP supportent le référencement de variables d'environnement dans leurs fichiers de configuration via la syntaxe ${STOXIIO_API_KEY}. Cela vous permet de garder la clé réelle hors de tout fichier de configuration :

{
  "headers": {
    "X-Api-Key": "${STOXIIO_API_KEY}"
  }
}

La manière dont vous définissez cette variable d'environnement de façon sécurisée vous appartient. Voici quelques pistes à explorer selon votre système d'exploitation :

macOS / Linux

Explorez le trousseau d'accès ou le gestionnaire de secrets de votre système (ex. le Trousseau macOS via la commande security) pour stocker vos secrets et les exporter automatiquement dans votre profil shell (~/.zshrc, ~/.bashrc).

Windows

Explorez le Gestionnaire d'identifiants Windows, le chiffrement DPAPI ou les variables d'environnement utilisateur (via PowerShell ou les Paramètres système) pour stocker et récupérer vos secrets sans les coder en dur.

Quelle que soit la méthode de stockage choisie, ajoutez le fichier de configuration MCP de votre client au .gitignore par mesure de sécurité :

# Fichiers de configuration MCP (peuvent contenir des clés API)
.mcp.json
.cursor/mcp.json

Résumé de la sécurité

ClientSécurisé par défaut ?Action requise
VS Code✅ Oui — clé stockée dans le stockage sécurisé de VS CodeAucune
Claude Code❌ Non — en clair dans .mcp.json / ~/.claude.jsonUtiliser ${STOXIIO_API_KEY} + stockage sécurisé
Cursor❌ Non — en clair dans .cursor/mcp.jsonUtiliser ${STOXIIO_API_KEY} + stockage sécurisé
Windsurf❌ Non — en clair dans mcp_config.jsonUtiliser ${STOXIIO_API_KEY} + stockage sécurisé