Krokanti Notes
Help Center
security

Révoquer les jetons API

Comment gérer, faire tourner et révoquer les jetons API personnels utilisés pour l'API REST Krokanti Notes et l'intégration MCP.

3 min read·Krokanti Notes Help

Les jetons API personnels te permettent d'accéder à Krokanti Notes depuis des outils externes — scripts, automatisations, assistants IA (via MCP) et intégrations. Si un jeton est compromis ou n'est plus nécessaire, tu dois le révoquer immédiatement.

Que sont les jetons API ?

Les jetons API sont des identifiants de longue durée au format kn_ suivi de 40 caractères hexadécimaux (par ex., kn_a3f8b2c1...). Ils constituent une alternative aux cookies de session pour l'accès programmatique à l'API Krokanti Notes.

Les jetons sont stockés sous forme de hachages SHA-256 — le jeton brut est affiché une seule fois lors de la création et n'est jamais stocké en clair. Si tu perds un jeton, tu ne peux pas le récupérer — crée-en un nouveau.

Consulter tes jetons

  1. Va dans Paramètres → Connexions
  2. Sous Jetons API personnels, tu verras la liste de tous les jetons actifs avec leurs noms, dates de création et horodatages de dernière utilisation

Révoquer un jeton

  1. Va dans Paramètres → Connexions
  2. Trouve le jeton que tu veux révoquer
  3. Clique sur Révoquer à côté de lui
  4. Confirme l'action

Le jeton est immédiatement désactivé — toute requête l'utilisant recevra une réponse 401 Unauthorized.

La révocation d'un jeton est immédiate et irréversible. Si tu utilises le jeton dans une automatisation ou une intégration, elle cessera de fonctionner instantanément. Mets à jour l'intégration avec un nouveau jeton avant de révoquer l'ancien si le temps d'arrêt est une préoccupation.

Quand révoquer

Révoque un jeton lorsque :

  • Tu n'utilises plus l'outil ou l'intégration pour lequel il a été créé
  • Tu soupçonnes que le jeton a été accidentellement exposé (par ex., commité dans un dépôt public, affiché dans un journal)
  • Tu fais tourner les identifiants dans le cadre d'un audit de sécurité
  • Tu perds un appareil sur lequel le jeton était stocké

Rotation des jetons (bonne pratique)

Pour la sécurité, fais tourner tes jetons périodiquement :

  1. Crée un nouveau jeton dans Paramètres → Connexions
  2. Mets à jour ton intégration/outil pour utiliser le nouveau jeton
  3. Vérifie que l'intégration fonctionne avec le nouveau jeton
  4. Révoque l'ancien jeton

Ainsi, il n'y a pas de temps d'arrêt pendant la rotation.

Créer un nouveau jeton

  1. Va dans Paramètres → Connexions
  2. Clique sur Nouveau jeton
  3. Saisis un nom descriptif (par ex., « Claude Code MCP », « Script serveur maison »)
  4. Clique sur Créer — la valeur du jeton est affichée une seule fois. Copie-la immédiatement.

Nomme tes jetons de manière descriptive pour savoir à quoi chacun sert. « Jeton 1 » est moins utile que « Claude Desktop MCP » ou « Automatisation Zapier ».

Propriétés de sécurité

  • Les jetons sont stockés sous forme de hachages SHA-256 — une violation de la base de données n'expose pas les jetons bruts
  • Les jetons ont une limite de débit de 100 requêtes par minute
  • Les requêtes basées sur des jetons ne peuvent pas créer ou révoquer d'autres jetons (opération réservée aux sessions)
  • Toutes les opérations sur les jetons sont enregistrées dans le journal d'audit (Paramètres → Sécurité → Journal d'audit)

Start taking better notes today

Free forever. No credit card required. Works on any device.

Create your free account →

Related articles

Codes de secours pour l'authentification à deux facteurs

Ce que sont les codes de secours, comment les utiliser et comment les régénérer si tu en manques ou s'ils sont compromis.

Comment fonctionne le chiffrement AES-256 dans Krokanti Notes

Explication technique du modèle de chiffrement côté client utilisé pour les notes sécurisées — dérivation de clé PBKDF2 et AES-256-GCM.

Was this article helpful?

Can't find what you're looking for? Contact support