Backoffice — Clés ClickUp par utilisateur
Gestion sécurisée des clés API ClickUp. Les clés ne sont jamais affichées complètement.
data/security/clickup_user_credentials.json (chmod 600) |
⚠️ Mode lab temporaire — remplacer par AESGCM en production
Clés configurées (0)
env_admin_temp (CLICKUP_API_KEY) est actif.
Enregistrer une clé
Informations techniques et limites de sécurité
Chiffrement : PBKDF2-SHA256 (100 000 itérations) + XOR stream cipher.
Sel : 16 bytes aléatoires par clé (unique par utilisateur).
Clé maître : data/security/.master_key (chmod 600, 256 bits).
Stockage : data/security/clickup_user_credentials.json (chmod 600).
Logs : Seuls les 4 derniers caractères (last4) sont loggués.
Test connexion : GET /api/v2/user uniquement — aucun PUT/POST/DELETE.
Limites actuelles :
Pas d'authentification d'intégrité (pas d'AES-GCM ou HMAC sur le chiffré).
Un attaquant ayant accès au fichier ET à la clé maître peut déchiffrer.
Recommandation production : installer cryptography et passer à Fernet ou AESGCM.
Fallback : Si aucune clé utilisateur, CLICKUP_API_KEY env est utilisé
avec auth_mode=env_admin_temp tracé dans les audits.