Accéder directement au contenu
Connectez-vous
Image du logo Stripe
/
Créez un compte
Connectez-vous
Aperçu
Applications Stripe

Utiliser des liens d'installation
Bêta

Autorisez les utilisateurs à installer votre application hors du Stripe App Marketplace.

Les liens d’installation permettent aux utilisateurs d’installer des applications publiques en dehors du Stripe App Marketplace. Avec un flux intégré, vous pouvez transmettre l’état de votre application, terminer l’installation de l’application Stripe et effectuer une redirection vers votre application ou votre site.

La page du lien d'installation affichant des autorisations d'accès

La page du lien d’installation

Présentation

En suivant les étapes suivantes, un utilisateur peut installer une application à l’aide d’un lien d’installation :

  1. Sur votre site, l’utilisateur clique sur un lien qui le redirige vers Stripe, en transmettant l’app_id.
  2. Sur Stripe, l’utilisateur sélectionne le compte approprié et accepte les autorisations pour l’installation de votre application.
  3. Après l’installation, l’utilisateur est redirigé vers votre site, avec le compte Stripe de l’utilisateur indiqué.
  4. Votre application peut désormais effectuer des requêtes de comptes authentifiés.

Créer un lien d'installation

Définissez votre allowed_redirect_uris dans votre manifeste d’application. Ce sont les URL vers lesquelles les utilisateurs sont redirigés après avoir installé votre application. Vous devez spécifier toutes les URL de redirection dans les paramètres de votre application.

Après avoir défini allowed_redirect_uris, chargez une nouvelle version de votre application.

stripe-app.json
{
  "id": "com.invoicing.[YOUR_APP]",
  "version": "1.2.3",
  "name": "[YOUR APP] Shipment Invoicing",
  "icon": "./[YOUR_APP]_icon_32.png",
  "permissions": [],
  "app_backend": {},
  "ui_extension": {},
  "allowed_redirect_uris": [
    "https://example.com/callback/stripe"
  ]
}

Tester votre lien d'installation

Pour vérifier que le lien d’installation fonctionne avant de l’envoyer pour examen, vous pouvez utiliser le test externe en appliquant la procédure suivante :

  1. Créez un test externe pour votre application en utilisant la version avec le allowed_redirect_uris définie dans le manifeste de l’application. Si un test existe déjà, vous pouvez mettre à jour la version de test vers celle souhaitée.
  2. L’onglet Test externe présente un lien d’installation de test et affiche les redirections autorisées dans un tableau.
  3. Lorsque vous êtes prêt à publier, assurez-vous de charger une nouvelle version dont les URL et les valeurs de test ont été remplacés par les valeurs que vous comptez utiliser en mode production.
Onglet Test externe affichant les liens d'installation

Utilisation d'un lien d'installation

Lorsque vous avez terminé les tests, vous pouvez le rendre disponible pour tous les utilisateurs en suivant les étapes ci-après :

  1. Publiez une nouvelle version de votre application qui définit allowed_redirect_uris.
  2. Cliquez sur l’onglet Paramètres. Vous pouvez copier le lien d’installation affiché. Il prend la forme suivante : https://marketplace.stripe.com/apps/install/link/{id}?redirect_uri=https://example.com.
  3. Recommended Afin d’éviter toute attaque CSRF, vous pouvez ajouter et transmettre le paramètre recommandé state avec pour valeur un token unique. Nous inclurons la valeur state fournie lors de la redirection de l’utilisateur vers votre site. Ce dernier peut confirmer que le paramètre state n’a pas été modifié.
  4. Une fois qu’un utilisateur a cliqué sur le lien d’installation, Stripe ouvre la page suivante sur laquelle il peut sélectionner un compte, consulter les informations relatives à l’application et procéder à l’installation.
Sélection d'un compte pour installer l'application sur

Sélection du compte pour le lien d’installation

Redirection vers votre site

Une fois que l’utilisateur a installé votre application, il est redirigé vers l’URL définie dans le paramètre redirect_uri, qui correspond à une redirection définie dans allowed_redirect_uris dans le manifeste de votre application.

Installation réussie

Pour que les installations fonctionnent, l’URL doit inclure :

  • La valeur user_id. L’ID de l’utilisateur Stripe qui a lancé l’installation.
  • La valeur account_id. L’ID du compte Stripe qui a installé votre application.
  • La valeur state, le cas échéant
  • La valeur install_signature. Il s’agit d’un hachage des valeurs ci-dessus qui est généré à l’aide de la clé secrète de signature de votre application.
https://example.com/callback/stripe?user_id={USER_ID}&account_id={CONNECTED_ACCOUNT_ID}&state={STATE}&install_signature={INSTALL_SIGNATURE}

Échec de l’installation

Si l’utilisateur annule l’installation, il sera quand même redirigé vers votre site, mais cette fois l’URL comprendra une erreur :

https://example.com/callback/stripe?error=access_denied&error_description=The%20user%20denied%20your%20request

L’utilisateur est désormais connecté à votre application. Conservez le paramètre stripe_user_id dans votre base de données. Il s’agit de l’ID du compte Stripe de l’utilisateur. Vous utiliserez cette valeur pour l’authentification en tant que compte connecté en l’intégrant dans les requêtes dans l’en-tête Stripe-Account.

Vérifiez les installations d’applications avec install_signature Recommended

Il est important de vérifier que l’utilisateur de votre application est autorisé à installer l’application pour le compte indiqué dans l’URL de redirection. C’est pour cette raison qu’une install_signature est incluse. Cette signature est générée à partir de la clé secrète de signature de votre application et des paramètres user_id et account_id ayant effectué l’installation. La signature inclut également le paramètre state transmis, le cas échéant. La signature ne peut pas être répliquée sans accès à la clé secrète de signature, qui est uniquement disponible en interne pour Stripe et pour le back-end de votre application. Les personnes malveillantes ne peuvent donc pas reproduire le hachage s’ils tentent d’usurper l’URL de redirection. Vérifier la signature de l’application permet de garantir que le compte est associé à l’utilisateur de votre application.

Pour vérifier la signature, suivez ces étapes :

  1. Si vous ne l’avez pas encore fait, créez la clé secrète de signature de votre application.
  2. Configurez un back-end d’application pour vérifier la valeur install_signature.

Exemple de back-end vérifiant l’installation :

The order and naming of the payload fields matter when performing signature verification. The state precedes the user_id, which precedes the account_id. The resulting object should be { state, user_id, account_id }.

// Set your secret key. Remember to switch to your live secret key in production.
// See your keys here: https://dashboard.stripe.com/apikeys
const stripe = require('stripe')(process.env.STRIPE_API_KEY);
const express = require('express');

// Find your app's secret in your app settings page in the Developers Dashboard.
const appSecret = 'absec_...';

const app = express();
app.use(express.json());

app.get("/", (request, response) => {
  response.send("Install Links verification example");
});

app.get("/verify", (request, response) => {
  const user_id = request.query.user_id;
  const account_id = request.query.account_id;
  const state = request.query.state;
  const install_signature = request.query.install_signature;

  const payload = JSON.stringify({
    // state should be declared first in the payload.
    state,
    user_id,
    account_id,
  });

  try {
    // Verify the payload and signature from the request with the app secret.
    stripe.webhooks.signature.verifyHeader(payload, install_signature, STRIPE_APP_SECRET);
  } catch (error) {
    response.status(400).send(error.message);
  }

  response.json({ success: true });
});

app.listen(3000, () => console.log("Running on port 3000"));

Après vérification, vous pouvez effectuer des appels à l’API au nom du compte installé.

Effectuer des requêtes authentifiées

Pour les appels à l’API côté serveur, vous pouvez effectuer des requêtes en tant que comptes connectés à l’aide de l’en-tête spécial Stripe-Account et de l’identifiant de compte Stripe (qui commence par le préfixe acct_) de l’utilisateur de votre plateforme. Voici un exemple qui montre comment créer un PaymentIntent avec la clé API secrète de votre plateforme et l’identifiant du compte de votre utilisateur.

Command Line
curl https://api.stripe.com/v1/payment_intents \
  -u "
sk_test_VePHdqKTYQjKNInc7u56JBrQ
:" \
  -H "Stripe-Account: 
{{CONNECTED_ACCOUNT_ID}}
" \
  -d amount=1000 \
  -d currency=usd \
  -d "payment_method_types[]"=card

L’approche d’en-tête Stripe-Account est implicite dans toute requête API qui inclut l’ID du compte Stripe dans l’URL. Voici un exemple qui montre comment récupérer un compte avec l’identifiant du compte de votre utilisateur dans l’URL.

Command Line
curl https://api.stripe.com/v1/accounts/acct_xxxxxxxxx \
  -u "
sk_test_VePHdqKTYQjKNInc7u56JBrQ
:"

Découvrez plus d’exemples de requêtes authentifiées ici.

Personnaliser les liens avec des paramètres d’URL

Vous pouvez modifier le comportement de l’installation d’applications en incluant des paramètres d’URL supplémentaires dans le lien d’installation.

Paramètres d’URL pris en charge

ParamètreDescription
redirect_uriL’URL vers laquelle les utilisateurs sont redirigés après avoir installé votre application. Si elle est fournie, elle doit correspondre exactement à l’une des valeurs redirect_uris séparées par une virgule de votre manifeste d’application. Pour vous protéger de certaines attaques d’intercepteurs, la redirect_uri du mode production doit utiliser une connexion HTTPS sécurisée.
stateRecommandéUne valeur d’une chaîne arbitraire qui vous sera renvoyée. Elle est recommandée pour la protection contre les attaques CSRF.

Prévenir les attaques CSRF à l’aide du paramètre d’état

Vous pouvez utiliser le paramètre state pour prévenir les attaques de type CSRF (Cross-Site Request Forgery). Celui-ci accepte n’importe quelle valeur de chaîne et la renvoie telle quelle lors de la redirection de l’outil d’installation vers votre application ou votre plateforme. Pour utiliser ce paramètre, transmettez une valeur unique difficile à deviner au lancement d’une installation à partir d’un lien d’installation. Enregistrez cette valeur afin de l’utiliser à des fins de vérification par la suite.

Une fois que l’utilisateur a effectué l’installation et a été redirigé vers votre application, vérifiez que la valeur du paramètre d’état fourni correspond à la valeur présente dans le lien d’installation initial. Ce processus de vérification permet de confirmer avec un niveau de confiance élevé que l’ID de stripe_user_id renvoyé appartient bien à l’utilisateur qui a lancé l’installation. Vous pouvez ainsi vous prémunir contre d’éventuelles falsifications.

Révocation de l’accès

Un événement account.application.deauthorized se produit lorsqu’un utilisateur déconnecte votre application de son compte. Vous pouvez effectuer le nettoyage nécessaire sur vos serveurs en surveillant cet événement via des webhooks.

Voir aussi

Cette page vous a-t-elle été utile ?
Besoin d'aide ? Contactez le service d'assistance.
Découvrez nos tutoriels pour les développeurs.
Consultez notre journal des modifications des produits.
Des questions ? Contactez l'équipe commerciale.
Propulsé par Markdoc
Sur cette page
Présentation
Créer un lien d'installation
Tester votre lien d'installation
Utilisation d'un lien d'installation
Redirection vers votre site
Effectuer des requêtes authentifiées
Personnaliser les liens avec des paramètres d’URL
Révocation de l’accès
Voir aussi
Stripe Shell
Test mode

Welcome to the Stripe Shell!

Stripe Shell is a browser-based shell with the Stripe CLI pre-installed. Log in to your
Stripe account and press Control + Backtick (`) on your keyboard to start managing your Stripe
resources in test mode.

- View supported Stripe commands: 
- Find webhook events: 
- Listen for webhook events: 
- Call Stripe APIs: stripe [api resource] [operation] (e.g., )
Le Shell Stripe est plus optimisé sur la version bureau.
$