Stripe API-sleutel aanmaken | Stap-voor-stap uitleg

Om software veilig met Stripe te laten communiceren is een API-sleutel nodig. Deze sleutel fungeert als een digitale toegangspas tot je Stripe-account en bepaalt welke gegevens een koppeling mag ophalen of verwerken. Zonder API-sleutel kan er geen enkele automatische uitwisseling plaatsvinden.

Stripe API-sleutel aanmaken en gebruiken

In Stripe bestaan meerdere soorten API-sleutels, maar voor koppelingen is vooral één onderscheid belangrijk: werken in testmodus of in live-modus.

Waar vind je je Stripe API-sleutels?

Na inloggen in het Stripe dashboard ga je naar Developers en vervolgens naar API keys. Hier toont Stripe zowel publieke sleutels als geheime sleutels. Voor koppelingen met externe software wordt altijd de geheime sleutel gebruikt, ook wel de Secret key genoemd.

Deze sleutel geeft toegang tot betaalgegevens, klanten en transacties. Het is daarom belangrijk om hier zorgvuldig mee om te gaan.

Stripe API-sleutel overzicht

Het verschil tussen test keys en live keys

Stripe werkt standaard met twee omgevingen: een testomgeving en een live omgeving. Elke omgeving heeft zijn eigen API-sleutels.

Test API-sleutels herken je aan sk_test_. Deze sleutels werken uitsluitend in de testmodus van Stripe. Alle betalingen en transacties zijn gesimuleerd en hebben geen financiële gevolgen. Test keys zijn bedoeld om koppelingen veilig te kunnen inrichten en controleren zonder risico voor je echte administratie.

Live API-sleutels herken je aan sk_live_. Deze sleutels werken in de productieomgeving van Stripe en verwerken echte betalingen. Transacties die via een live key worden opgehaald, horen direct bij je boekhouding en rapportages.

Het is verstandig om altijd eerst met test keys te werken. Pas wanneer je zeker weet dat alles correct functioneert, stap je over op een live key.

Welke API-sleutel heb je nodig?

Voor de meeste koppelingen is één Stripe Secret key voldoende. De standaardrechten die Stripe meegeeft zijn in vrijwel alle gevallen geschikt. Het is niet nodig om aparte sleutels per functie aan te maken, zolang je overzicht houdt over welke tools toegang hebben.

Bij een beheerde koppeling, zoals met Konnekta, wordt de sleutel veilig opgeslagen en uitsluitend gebruikt voor de afgesproken automatisering.

Veelgemaakte fouten bij Stripe API-sleutels

In de praktijk ontstaan problemen vaak doordat per ongeluk een test key in een live omgeving wordt gebruikt, of omdat een publieke sleutel wordt gedeeld in plaats van de geheime sleutel. Ook komt het voor dat ondernemers meerdere Stripe-accounts hebben en de sleutel uit het verkeerde account kopiëren.

Dit soort fouten kan leiden tot ontbrekende transacties, dubbele boekingen of een koppeling die helemaal geen data ophaalt.

Webhook secrets (optioneel, maar aanbevolen)

Naast API-sleutels werkt Stripe ook met zogeheten webhook secrets. Deze worden gebruikt om binnenkomende berichten van Stripe te verifiëren. Denk hierbij aan meldingen over nieuwe betalingen, refunds of abonnementen die automatisch naar een koppeling worden gestuurd.

Een webhook secret is niet verplicht om met de Stripe API te werken. Veel koppelingen functioneren prima zonder webhooks en halen gegevens actief op via de API. Webhooks zijn dus optioneel.

Wanneer webhooks wél worden gebruikt, zorgt het webhook secret ervoor dat gecontroleerd kan worden of een bericht daadwerkelijk van Stripe afkomstig is en niet is aangepast onderweg. Dit verhoogt de betrouwbaarheid en veiligheid van real-time verwerking.

Webhook secrets zijn per webhook ingesteld en staan los van je API-sleutels. Ze beginnen meestal met whsec_ en horen net als API-sleutels strikt geheim te blijven.