Skip to content

Autenticação

Todas las peticiones a la API de Dailybot requerem autenticación via una API key pasada en los headers de la petición. Esta página cubre los headers requeridos, métodos de autenticación y mejores prácticas de seguridad.

Autenticación por API Key

Dailybot utiliza autenticación basada en headers. Incluye tu API key en el header X-API-KEY en cada petición.

Headers Obrigatórios

NameTypeRequiredDescription
X-API-KEYstringRequiredTu API key única obtenida desde el dashboard de Dailybot.
Content-TypestringRequiredDebe ser application/json.
AcceptstringRequiredDebe ser application/json.
Requisição autenticada
curl -X GET "https://api.dailybot.com/v1/me/" \
  -H "X-API-KEY: sua_api_key" \
  -H "Content-Type: application/json" \
  -H "Accept: application/json"
Response200 OK
json
{
  "id": "usr_abc123",
  "email": "[email protected]",
  "first_name": "Maria",
  "last_name": "Silva",
  "role": "admin"
}
Response401 Não Autorizado — chave de API ausente ou inválida
json
{
  "detail": "Authentication credentials were not provided."
}

Info

Uma chave de API carrega o contexto tanto da organizaçãoquanto do proprietário da chave. Todas as chamadas de API estão limitadas à organização à qual a chave pertence, e as verificações de permissão refletem os níveis de acesso do proprietário.

Garantia de paridade — chave de API vs. CLI Bearer

O Dailybot suporta dois tipos de credenciais para a API pública: umachave de API de longa duração (header X-API-KEY) e um token Bearer da CLI pessoal (Authorization: Bearer …) obtido com dailybot login. Ambas as credenciais concedem o mesmo acesso a todos os endpoints públicos, com a única exceção dos quatro endpoints CLI-only listados no fim desta seção.

Este é um compromisso explícito de projeto: os campos, a paginação, os códigos de erro e os escopos de rate-limit são iguais entre tipos de credencial para o mesmo usuário subjacente. A aplicação do contrato emapi-services está em rollout — o log vive em/pt/developers/api-changelog. Se você observar um endpoint que se comporta diferente sob as duas credenciais, por favor abra um issue — é um bug contra este compromisso.

  • Uso pessoal: dailybot login.
  • Automação / CI / cron:$DAILYBOT_API_KEY.
  • Agentes de IA: a mesma $DAILYBOT_API_KEY.

Os quatro endpoints CLI-only são os únicos que rejeitam chave de API por projeto:

  • GET /v1/cli/updates/
  • GET /v1/cli/status/
  • POST /v1/cli/chat/completions/
  • /v1/cli/auth/*

Requisitos de plano

Chaves de API requerem um plano pago do Dailybot. Cada requisição é validada contra o plano da organização do proprietário da chave a cada requisição. Uma org que fizer downgrade terá suas chaves paradas em até 60 segundos.

CondiçãoHTTPcode
O proprietário da chave está desativado403api_key_owner_inactive
A organização está no plano gratuito403plan_free_api_keys_forbidden
O plano não inclui acesso à API403plan_missing_core_api_integrations

owner vs. created_by

Cada chave de API registra dois usuários distintos:

  • owner — o usuário cuja identidade e escopo de função a chave atua. As requisições veem os dados do proprietário, limitados pelo seu papel.
  • created_by — o admin que criou a chave. Pode ser nulo em chaves históricas. Usado para auditoria.

Ciclo de vida da chave (show-once)

Os segredos de chave de API seguem a semântica show-once — a chave em texto pleno só é retornada no momento da criação ou regeneração. Depois, apenas os últimos 4 caracteres (key_suffix) são exibidos.

AçãoChave completa visível?Leituras posteriores mostram
Criar (POST)✅ Sim, na resposta 201Apenas key_suffix
Regenerar (PATCH com regenerate: true)✅ Sim, na resposta 200Apenas key_suffix
Listar / Detalhe (GET)❌ NuncaApenas key_suffix
Atualizar sem regenerar (PATCH)❌ NuncaApenas key_suffix

Warning

Copie a chave imediatamente após criá-la ou regenerá-la — não será possível recuperá-la depois. Armazene-a em variável de ambiente ou gerenciador de segredos. O formato mascarado é: ••••••••xxxx.

Acesso de membros a chaves de API

Membros não administradores já podem gerenciar suas próprias chaves de API.

  • Admin: vê e gerencia todas as chaves da org; pode criar chaves para outros usuários.
  • Membro: vê e gerencia apenas suas próprias chaves. Não pode criar chaves de agente nem para outros.

Lista de endpoints permitidos no plano gratuito (CLI)

Tokens CLI Bearer em organizações de plano gratuito só podem acessar um conjunto restrito de endpoints. Os demais retornam 403 plan_upgrade_required.

  • POST /v1/agent-reports/ — limite 50/dia por org
  • POST /v1/send-email/ — limite 20/dia por org
  • GET/POST /v1/agent-messages/, POST /v1/agent-messages/read/
  • GET /v1/agent/health/, fluxo de registro e claim de agentes
  • GET /v1/me/, GET /v1/organization/, GET /v1/cli/status/

Matriz de métodos de autenticação

Info

Chaves de API funcionam em TODOS os endpoints /v1/. Não há restrição no lado do servidor que limite as chaves de API a operações de agente.
Grupo de endpointsChave de APICLI TokenOAuth2
/v1/me/
/v1/organization/
/v1/users/
/v1/teams/, membros
/v1/templates/, /v1/checkins/
/v1/forms/ (tudo)
/v1/kudos/ (list, create, boost, organization, wall-of-fame)
/v1/workflows/
/v1/send-message/
/v1/agent-reports/, health, messages, email
/v1/cli/updates/, /v1/cli/status/
/v1/cli/chat/completions/
/v1/cli/auth/status/
/v1/cli/auth/logout/
/v1/platform/*

URL Base y Versionado

Todos los endpoints API usan la siguiente URL base:

text
https://api.dailybot.com/v1/

La API está versionada a través de la ruta de URL. La versión actual y única es v1. Se recomienda configurar tu cliente HTTP con el prefijo base completo incluyendo la versión para asegurar compatibilidad futura.

Token de Intercambio

El mecanismo de Token de Intercambio te permite hacer llamadas API en nombre de otros membros de la organización. Esto es útil para escenarios como:

  • Dar kudos a membros del equipe programáticamente
  • Completar respostas de check-in para otros usuários
  • Realizar acciones en el contexto de un usuário diferente

Obtención de Tokens de Intercambio

Hay dos formas de obter un token de intercambio:

1. Vía ChatOps y Comandos Personalizados

Cuando un usuário activa un comando personalizado en el chat, el comando recibe un token de intercambio que puede usarse para hacer llamadas API en el contexto de ese usuário.

2. Vía Endpoint API Dedicado

Puedes solicitar un token de intercambio para un usuário específico a través de un endpoint dedicado, siempre que tu API key tenga los permisos necesarios.

Función Desactivada por Defecto

La autenticación por Token de Intercambio está desactivada por defecto. Si necesitas usar tokens de intercambio, por favorcontacta a nuestro equipe de soporte con detalles sobre tu caso de uso.

Límites de Tasa

La API de Dailybot aplica límites de tasa para asegurar un uso justo. Si excedes el límite, recibirás una resposta429 Too Many Requests.

Response429 Demasiadas Peticiones
json
{
  "detail": "Request was throttled. Expected available in 30 seconds."
}

Tip

Los planes Enterprise incluyen límites de tasa más altos.Contacta a ventas para detalles sobre los niveles de límites de tasa.

Mejores Prácticas de Seguridad

  • Nunca subas API keys a control de versiones ni las expongas en código del lado del cliente
  • Usa variables de entorno o un gestor de secretos para almacenar credenciales
  • Rota las claves regularmente y revoga inmediatamente cualquier clave comprometida
  • Revoga claves no utilizadas desde el dashboard de Integraciones
  • Usa apenas HTTPS — todas las peticiones API deben usar cifrado TLS
  • Monitorea el uso de la API a través del dashboard para detectar atividade inesperada