API tokeny

Vytvářejte, scopeujte, rotujte a rušte API tokeny pro programový přístup.

API tokeny

Tokeny autentizují API volání a měly by se spravovat se stejnou péčí jako hesla.

Vytváření tokenů

• Owners mohou vytvářet tokeny z dashboardu nebo API.
• Tokeny se ukládají hashované; plaintext se zobrazí pouze při vytvoření.

Rotace a revokace

• Rotujte je pravidelně a vždy, když někdo opustí tým.
• Revokace se zapisuje do audit logu, takže můžete doložit, kdo změnu provedl.

await writeAuditLog({
  orgId: ctx.org.id,
  actorUserId: ctx.user.id,
  targetType: 'api_token',
  targetId: token.id,
  action: 'api_token.revoked',
  requestId,
});

Tipy pro použití

• Používejte různé tokeny pro jednotlivá prostředí.
• Nedávejte tokeny do client-side kódu; API volejte jen z důvěryhodných backendů.
• Kombinujte tokeny s webhooky pro automatizaci downstream flow.