Go-live checklist
Checklist finale avant mise en production: auth, webhooks, observabilite et cas critiques.
Objectif
Cette page sert de validation finale avant d'ouvrir l'integration a de vrais clients. L'objectif n'est pas seulement de faire passer un appel API, mais de verifier que tout le cycle de vie du contrat est correctement gere.
Auth
OK
Cle production recue, stockee cote serveur et separee de la sandbox.
Webhook
OK
Signature verifiee, idempotence branchee et endpoint HTTPS public.
Support
OK
Logs, alerting et procedure d escalade disponibles pour les cas critiques.
Checklist
Séparer les environnements
La cle sandbox n est jamais deployee en production. Les URLs de retour et les webhooks production sont distincts des URLs de recette.
Sécuriser l'authentification
x-api-keyest stocke cote serveur uniquement. Aucun appel critique ne depend d une cle exposee au navigateur ou a l application mobile.Configurer le webhook partenaire
PATCH /api/v1/partners/me/webhookest configure avec une URL HTTPS publique. LewebhookSecretest bien conserve dans un secret manager.Vérifier la signature
Le handler valide
x-insurance-signaturesur le body brut avec une comparaison a temps constant avant tout traitement.Garantir l'idempotence
Le couple
reference + eventne cree jamais de doublon. Un retry webhook ou un rejeu admin ne casse pas l etat interne.Gérer les cas critiques
ISSUANCE_FAILEDdeclenche un alerting immediat et une procedure support. L UX ne doit jamais afficher "paiement echoue" dans ce cas.Tracer chaque requête
Les logs conservent
reference,x-request-id, environnement, timestamp UTC et resultat metier pour faciliter toute investigation.Valider le runbook support
L equipe sait quoi faire pour
401,403,404,ISSUANCE_FAILED, webhook invalide ou reference introuvable.
Cas a valider avant ouverture
| Cas | Attendu |
|---|---|
| Happy path complet | PENDING_PAYMENT puis ACTIVE et webhook insurance.contract.issued. |
| Paiement annule | Pas de contrat emis, contractStatus = PAYMENT_FAILED. |
| Paiement confirme puis emission echouee | Webhook insurance.contract.issuance_failed + alerting support. |
| Webhook signe invalide | Rejet du webhook et aucun effet metier. |
| Retry webhook | Aucun doublon, etat stable. |
| Reference relue apres webhook manque | GET /partner/contracts/requests/{reference} retourne le bon etat. |
Pages a relire avant prod
Authentification
Cle API, JWT et headers recommandes.
Reference API
Playground et schemas OpenAPI reels.
Webhooks sortants
Signature, retries et idempotence.
Erreurs & troubleshooting
Codes d erreur, checklist de diagnostic et escalade.
Le go-live ne doit pas dependre uniquement d un test manuel reussi. Il faut
egalement avoir valide la signature webhook, l idempotence et le traitement du
cas ISSUANCE_FAILED.
Comprendre le parcours complet de la demande au contrat actif.
Tester les endpoints et consulter les schemas OpenAPI reels.
Verifier la signature et traiter les emissions en temps reel.
Valider les prerequis de production avant ouverture partenaire.