Aller au contenu

Sessions actives et clés API

Votre compte baguetoast, c’est la clé du fournil : autant savoir qui la possède. Tout part de « Paramètres » (groupe « Compte » de la sidebar) : la section Sécurité y affiche les cartes « Sessions actives » (« Voir et révoquer vos appareils ») et « Clés API » (« Gérer l’accès programmatique »). « Clés API » a aussi son raccourci direct dans la sidebar.

La page Sessions actives (/dashboard/settings/sessions, carte « Voir et révoquer vos appareils ») liste les appareils actuellement connectés à votre compte : Appareil (navigateur), Adresse IP, Créée le, Expire le. Votre session en cours porte le badge vert « Actuelle ».

  1. Repérez la session suspecte ou inutile dans le tableau.
  2. Cliquez sur « Révoquer » sur sa ligne. Toast « Session révoquée. » : l’appareil est déconnecté.
  3. La session « Actuelle » n’est pas révocable individuellement (un tiret remplace le bouton).

La page Clés API (/dashboard/settings/api-keys) sert à « créer et gérer des clés d’API pour accéder à BagueToast depuis vos scripts ».

  1. Cliquez sur « Nouvelle clé ». Le dialogue « Créer une clé API » s’ouvre.

  2. Donnez un Nom (3 caractères minimum).

  3. Cochez les Permissions voulues — ne donnez que le nécessaire :

    Permission Portée
    Lecture seule read
    Lecture + écriture (tout) write
    Contrôle serveurs (start/stop/restart) servers:control
    Console serveurs servers:console
    Fichiers serveurs servers:files
    Administration des nodes nodes:manage
    Administration utilisateurs users:manage
  4. Fixez une Expiration (optionnel) : la clé cessera de fonctionner à cette date.

  5. Cliquez sur « Créer la clé ». Toast « Clé créée. Copiez-la maintenant. »

La liste affiche ensuite pour chaque clé : préfixe, nom, permissions (badges), dernière utilisation et expiration.

Cliquez sur « Révoquer » sur la ligne de la clé, puis confirmez. Toast « Clé révoquée. » : tout accès via cette clé est coupé sur-le-champ.

Quand vous liez votre compte au bot Boguette Client avec /link, la plateforme crée automatiquement une clé API nommée « Boguette Client — <pseudo Discord> » (lecture + écriture). Elle apparaît dans votre liste de clés, comme les autres.

Je suis déconnecté tous les jours, est-ce un bug ? Non : le cookie de session du navigateur dure 24 h, même si la session serveur vit 7 jours. Une reconnexion quotidienne est le comportement normal.

Je ne peux pas révoquer la session « Actuelle ». C’est voulu : elle n’a pas de bouton « Révoquer ». Utilisez « Tout révoquer » (qui vous déconnecte aussi) ou déconnectez-vous simplement.

J’ai fermé la fenêtre sans copier ma clé API. La clé ne sera plus jamais affichée. Révoquez-la, puis créez-en une nouvelle avec les mêmes permissions.

Le bot Discord accède encore à mes serveurs après /unlink. Sa clé API « Boguette Client — … » est toujours active. Révoquez-la depuis la page Clés API : l’accès est coupé immédiatement.

Un doute sur la sécurité de votre compte ? Pensez aussi à activer la 2FA et à vérifier vos comptes liés.