Skip to content
Cómo hacerAdmin

Gestionar claves de API y secretos de webhook

Gestionar claves de API y secretos de webhook

Las claves de API y los secretos de webhook demuestran que la automatización que se comunica con Dailybot está autorizada. Trátalos como contraseñas: de vida corta cuando sea posible, rotados según un calendario y revocados en cuanto sospeches de una filtración.

Antes de empezar

  • Necesitas ser Organization admin o tener un rol que pueda gestionar la configuración de Developers, Integrations o API.
  • Avisa a cualquiera que ejecute CI o scripts de agentes antes de rotar claves, para que puedan actualizar las variables de entorno el mismo día.

Pasos

  1. Inicia sesión en la aplicación web de Dailybot y haz clic en Settings en la barra lateral, luego selecciona API & integrations.
  2. Abre API keys, Developers o Integrations y localiza Create API key (o el equivalente).
  3. Crea una clave nueva con una etiqueta descriptiva (por ejemplo, prod-reporting-2026) y el mínimo alcance posible si el producto ofrece tokens con alcance.
  4. Copia la clave una sola vez y guárdala en un gestor de secretos o una bóveda cifrada, no en chats, tickets ni repositorios públicos.
  5. Para los webhooks, abre la configuración del webhook o del Agent Inbox y anota el signing secret que se usa para verificar los payloads; cópialo al entorno del servicio consumidor.
  6. Rota según un calendario: crea una clave nueva, actualiza todos los llamadores (GitHub Actions, .env local, hosts de agentes), verifica que el tráfico funcione y luego revoca la clave anterior.
  7. Revoca de inmediato las claves comprometidas desde la misma pantalla; no esperes a la siguiente ventana de mantenimiento.
  8. Audita la lista trimestralmente: elimina claves con dueños desconocidos o etiquetas obsoletas.
  9. Si un socio de webhook filtró un secreto, genera un nuevo signing secret (si es compatible), actualiza el receptor y haz una prueba de reenvío con un evento de ejemplo.

Buenas prácticas

  • Prefiere una clave por integración para que el radio de impacto de una revocación se mantenga pequeño.
  • Nunca subas claves a git; usa DAILYBOT_API_KEY o el almacén de secretos de tu CI.
  • Registra las marcas de tiempo de last used si el panel las muestra; las claves inactivas son buenas candidatas a revocación.

Qué esperar después

La rotación hace que los tokens antiguos devuelvan errores 401 hasta que cada cliente se actualice. Tras la revocación, las claves robadas dejan de funcionar. Para problemas de entrega después de los cambios, consulta Los webhooks no se disparan y Errores de autenticación de la API.

Artículos relacionados