Saltar para o conteúdo principal
DocsAPI abrir plataformaGerenciamento de chaves da API

Gerenciamento de chaves da API

Formato de token, fluxo de criação, os 8 escopos de permissão, ciclo de vida, análise de uso e melhores práticas de segurança.

A API Key é sua única credencial para falar com a plataforma aberta Braidrun. Cada chave carrega um conjunto de escopos (mecanismo de permissão) e um Token. Se perdido ou vazado, a nova criação será revogada imediatamente.

Formato do item

text
dyk_<id>_<secret>

例:dyk_a3b9c8d7e6f5a1b2_AbCdEfGhIjKlMnOpQrStUvWxYz0123456789
  • dyk_ — Prefixo de marca para tornar identificável a ferramenta git secret-scanning / log dessensibilization
  • <id> — Uma base de 16 caracteres62 ID público, utilizável como uma chave de pesquisa (não sensível)
  • <secret> — 32-byte random secret, base64url coding (sensível, nenhuma mensagem de logs/erro permitida para ser enviada)
O item só é exibido uma vez

Ao gerar uma chave API, o Token original é exibido apenas uma vez na caixa de diálogo criação. Após o fechamento, o servidor apenas retém o hash Argon2id e não pode rever o texto original. Por favor, copie e salve para sua ferramenta de gerenciamento de chaves (1Password/Vault/Doppler/GitHub Secrets/etc) agora.

Criar chave de API

  1. Visite o console → Configurações de conta → Chave API
  2. Clique em "Nova chave API"
  3. Preencher: nome (para identificação), lista de escopo, período de validade (permanente / 30 dias / 90 dias / 1 ano)
  4. Clique em "Gerar chave" → Copiar Token agora

Âmbito de aplicação

Escopos são permissões de grãos finos — 8 no total: 7 você pode conceder a si mesmo, e CLUSTER ADMIN é apenas administrador. Conceda uma chave o mínimo possível; siga o menor privilégio.

Scopeo que pode ser feitoCenários típicos
WEBHOOK_TRIGGERActivar o Webhook ligado a esta ChaveGitHub Push → Workflow; upstream business system callback
APPROVAL_RESPONDAprovar ou rejeitar as etapas de homologação manual — abrange a homologação Webhook e os parâmetros de homologação v1 (/api/v1/aprovações/*, incluindo a listagem das homologações pendentes, os pormenores de leitura e a apresentação de um formulário de homologação editado)Links de aprovação de um clique em e-mail ou Slack; integração com sistemas de aprovação externos
WORKFLOW_READDefinições de workflow lista/leiaMostrar a lista de workflows actual num painel externo
WORKFLOW_EXECUTEIniciar workflows através da API (substituição do modo webhook)Integração SDK; testes automatizados; tarefas em lote
EXECUTION_READPerguntar o estado da execução / ler o resultado completoResultados da execução do Backflow para a empresa BI/data warehouse
EXECUTION_CANCELCancelar uma execução em execuçãoBotão "Parar" no painel de gestão/disjuntor de emergência
ARTIFACT_READListar produtos de execução / obter link de downloadArquivar os relatórios para armazenamento de objetos; enviar os resultados para sistemas a jusante
CLUSTER_ADMINApenas para administração: leia o status do cluster e gerencie políticas de autoscaling. Apenas os administradores podem conceder; quando um não- administrador cria uma Chave, este escopo é despojado automaticamenteContas de serviço para o funcionamento de uma implantação self-hosted

Ciclo de vida

  • criar — Self-service do usuário; escopo + período de validade é decidido por você
  • Utilização — Cada chamada bem sucedida acumula automaticamente o uso e atualiza o últimoUsedAt timestamp.
  • Revogar — Os usuários podem clicar em "Revogar" na página "Chave API" a qualquer momento; idempotent
  • Termo — expiraNo expira imediatamente após a chegada; nenhuma revogação ativa é necessária

Análise da dose

Para cada chave, clique em "Usar" na tabela "Chave API" e uma análise do gráfico aparecerá:

  • Número cumulativo de chamadas + dentro da janela (7/30/90/180 dias opcional)
  • Dia de pico (que dia tem mais chamadas)
  • Gráfico de linhas de chamadas diárias
  • Gráfico pie da distribuição do endpoint da chamada (webhook.trigger/workflow.execute/etc)
  • Última vez usada

A utilização conta apenas as respostas bem sucedidas (HTTP 2xx). Falhas de autenticação/requisitos limitados por taxa não são contados.

Melhores práticas de segurança chave

por favor, cumpra com
  • Use chaves independentes para cada ambiente (produção/estacionamento/local) - somente o ambiente afetado será revogado em caso de incidente
  • Cada integração externa usa uma chave separada - use "Usagem" para ver qual integração está em uso
  • Nunca enviar o Token para o repositório de código
  • Injectar como Secreto encriptado no CI/ CD; não imprimir nos registos
  • Observe que o tempo "recentemente utilizado" é diferente da sua expectativa → revogue imediatamente e verifique os logs
  • As chaves dadas aos parceiros de curto prazo devem ser definidas para expirar em (recomendado no prazo de 90 dias)