À compter du 25 septembre 2026, toutes les requêtes API Smoobu devront être authentifiées à l'aide de signatures HMAC-SHA256. Ce guide explique en quoi cela vous concerne et fournit des instructions détaillées pour mettre à jour votre intégration.
Qu'est-ce que l'authentification HMAC ?
HMAC (Hash-based Message Authentication Code) est une norme de sécurité qui garantit que chaque requête API est authentique et n'a pas été altérée.
Au lieu d'envoyer simplement votre clé API, chaque requête est signée à l'aide d'un secret, à l'instar de la manière dont les banques vérifient les transactions.
Cela me concerne-t-il ?
- Non : vous n'êtes pas concerné si vous utilisez uniquement des intégrations de partenaires officiels connectées via la Smoobu Marketplace (par exemple, PriceLabs, Chekin). Ces partenaires gèrent automatiquement la migration de leur côté.
- Oui :
- Si vous utilisez l'API Smoobu directement via vos propres scripts ou des intégrations personnalisées dont vous contrôlez le code, veuillez suivre les étapes ci-dessous.
- Si vous avez collé votre clé API Smoobu dans un outil tiers que vous ne contrôlez pas (par exemple, un outil de tarification ou un gestionnaire de canaux qui ne figure pas sur la Smoobu Marketplace). Vous ne pouvez pas effectuer cette migration vous-même, car le fournisseur de l'outil doit mettre en place la nouvelle signature de son côté. Voir « Vous utilisez un outil tiers ? » ci-dessous.
Utilisez-vous un outil tiers ?
Si votre clé API est utilisée par un outil tiers que vous ne contrôlez pas, ne supprimez pas votre clé et n'essayez pas de la migrer vous-même, car cela interromprait l'intégration.
Contactez plutôt notre équipe d'assistance et indiquez-nous quel outil vous utilisez. Nous contacterons directement le fournisseur et lui ferons configurer la nouvelle méthode de signature. Votre clé API existante reste inchangée, et votre intégration continue de fonctionner pendant toute la période de migration pendant que nous nous occupons de cela.
Étape par étape
1) Ouvrez votre compte Smoobu et accédez à Avancé > Clés API
2) Cliquez sur « Créer », puis attribuez à votre clé un nom explicite (par exemple, « Mon intégration Smoobu » ou « Script de synchronisation des chaînes ») afin de pouvoir la retrouver facilement par la suite. Cliquez sur « Valider ».
3) Après avoir cliqué sur « Soumettre », votre clé secrète s'affichera une seule fois : copiez-la immédiatement et conservez-la en lieu sûr (par exemple dans un gestionnaire de mots de passe ou dans les variables d'environnement de votre application).
💡 Astuce : si vous perdez votre clé secrète, vous pouvez la régénérer sur cette page. Notez que la régénération rendra immédiatement la clé existante invalide ; veillez donc à mettre à jour votre intégration au préalable.
4) Mettez à jour votre intégration pour signer les requêtes. Le guide technique complet, accompagné d'exemples de code, est disponible ici : docs.smoobu.com/#hmac-authentication
Chaque requête API nécessite désormais les en-têtes suivants :
Header |
Ce qu'il contient |
|---|---|
| X-API-Key | Votre clé API (la même que précédemment) |
| X-Timestamp | L'heure UTC actuelle au format ISO 8601 (exemple : 2026-04-01T12:00:00Z) |
| X-Nonce | Une valeur unique par requête (utilisez un UUID v4 — ne la réutilisez jamais) |
| X-Signature | La signature HMAC-SHA256 |
5) Pendant la période de migration (jusqu'au 25 septembre 2026), Smoobu accepte à la fois les requêtes signées et non signées. Vous pouvez déployer votre intégration mise à jour et vérifier qu'elle fonctionne sans perturber votre configuration actuelle.
💡Astuce : envoyez quelques requêtes avec les nouveaux en-têtes et vérifiez que vous obtenez des réponses positives. Si vous voyez le code d'erreur 401 Unauthorized, vérifiez votre horodatage (qui doit se situer dans les 5 minutes suivant l'heure du serveur) et assurez-vous que votre nonce n'a pas été réutilisé
6) Supprimez votre ancienne clé API (facultatif, mais recommandé). Si vous disposez d’une clé API dans la section « Clés API héritées », vous pouvez la supprimer une fois que vous avez configuré votre nouvelle clé. Pendant la période de migration, les anciennes et les nouvelles clés fonctionnent toutes les deux ; vous pouvez donc effectuer cette opération après avoir terminé les tests.
💡 Conseil : ne supprimez pas votre ancienne clé tant que votre nouvelle intégration signée ne fonctionne pas. Les deux peuvent coexister pendant la période de migration.
FAQ
À qui s’appliquent ces changements ?
Cela s'applique si vous utilisez directement l'API Smoobu, par exemple avec :
- Vos propres scripts
- Des intégrations personnalisées
- Des outils tiers dans lesquels vous avez saisi manuellement votre clé API
Si vous utilisez une intégration partenaire via la Smoobu Marketplace (telle que Pricelabs, Chekin ou des intégrations similaires), aucune action n'est requise de votre part. Votre partenaire d'intégration se chargera de la mise à jour.
De plus, les connexions API avec les portails de réservation (Airbnb, Booking.com, etc.) ne sont pas non plus affectées par ce changement.
Qu'est-ce qui reste inchangé ?
- La valeur de votre clé API ne change pas
- Tous les points de terminaison API Smoobu existants fonctionnent exactement comme avant
- Les mêmes formats de données et réponses s'appliquent
Quelles sont les nouveautés ?
- Chaque requête comprend un horodatage, un nonce unique et une signature
- Vous générez un secret depuis votre tableau de bord Smoobu pour créer cette signature
Je reçois une erreur 401 Non autorisé — que dois-je vérifier ?
Causes courantes :
- Décalage horaire — l'heure de votre système présente un écart de plus de 5 minutes. Assurez-vous que votre serveur utilise NTP.
-
Nonce réutilisé — chaque requête doit comporter un
X-Nonceunique. Utilisez un UUID v4 ou des octets aléatoires. -
Hachage incorrect du corps — pour les requêtes GET/DELETE, effectuez le hachage d’une chaîne vide (pas
nullniundefined). - Ordre des paramètres de requête — les paramètres doivent être triés par ordre alphabétique lors de la construction de la chaîne canonique.
- Incompatibilité d’encodage — signez le corps JSON brut exactement tel qu’il est envoyé (mêmes espaces et même encodage).
Mon ancienne clé API ne fonctionne plus — que s’est-il passé ?
Si vous avez dépassé la date limite du 25 septembre 2026 et que vous n'avez pas ajouté la signature HMAC, les requêtes non signées renvoient une erreur 401.
Pour résoudre ce problème :
- Allez dans Avancé > Clés API
- Créez une nouvelle clé et générez un secret
- Mettez à jour votre intégration pour signer les requêtes
Puis-je toujours utiliser ma vieille valeur de clé API ?
Oui. La valeur de votre clé API reste la même.
Il vous suffit d'ajouter ces en-têtes à votre X-API-Key existante:
X-TimestampX-NonceX-Signature
Que se passe-t-il si je perds mon secret ?
- Accédez à : Avancé > Clés API
- Recherchez votre clé et cliquez sur Régénérer le secret.
- L'ancien secret cesse de fonctionner immédiatement ; mettez donc à jour votre intégration sans tarder.
Quel est le calendrier de migration ?
Date |
Ce qu'il se passe |
|---|---|
| Dès maintenant | La signature HMAC est disponible. Commencez la migration à votre rythme. |
| 25 septembre 2026 | Les requêtes API non signées ne fonctionneront plus. |
Guide technique complet
Pour consulter la documentation technique complète — comprenant des exemples de code détaillés en cURL, PHP et Node.js —, rendez-vous sur la page de documentation de l'API Smoobu :
https://docs.smoobu.com/#hmac-authentication
Cette page contient tout ce dont vous avez besoin pour implémenter la signature HMAC dans vos intégrations.
Commentaires
0 commentaire
Cet article n'accepte pas de commentaires.