Autenticação
Todas las peticiones a la API de Dailybot requerem autenticación via una API key pasada en los headers de la petición. Esta página cubre los headers requeridos, métodos de autenticación y mejores prácticas de seguridad.
Autenticación por API Key
Dailybot utiliza autenticación basada en headers. Incluye tu API key en el header X-API-KEY en cada petición.
Headers Obrigatórios
| Name | Type | Required | Description |
|---|---|---|---|
X-API-KEY | string | Required | Tu API key única obtenida desde el dashboard de Dailybot. |
Content-Type | string | Required | Debe ser application/json. |
Accept | string | Required | Debe ser application/json. |
curl -X GET "https://api.dailybot.com/v1/me/" \
-H "X-API-KEY: sua_api_key" \
-H "Content-Type: application/json" \
-H "Accept: application/json"Response200 OK
{
"id": "usr_abc123",
"email": "[email protected]",
"first_name": "Maria",
"last_name": "Silva",
"role": "admin"
}Response401 Não Autorizado — chave de API ausente ou inválida
{
"detail": "Authentication credentials were not provided."
}Info
Garantia de paridade — chave de API vs. CLI Bearer
O Dailybot suporta dois tipos de credenciais para a API pública: umachave de API de longa duração (header X-API-KEY) e um token Bearer da CLI pessoal (Authorization: Bearer …) obtido com dailybot login. Ambas as credenciais concedem o mesmo acesso a todos os endpoints públicos, com a única exceção dos quatro endpoints CLI-only listados no fim desta seção.
Este é um compromisso explícito de projeto: os campos, a paginação, os códigos de erro e os escopos de rate-limit são iguais entre tipos de credencial para o mesmo usuário subjacente. A aplicação do contrato emapi-services está em rollout — o log vive em/pt/developers/api-changelog. Se você observar um endpoint que se comporta diferente sob as duas credenciais, por favor abra um issue — é um bug contra este compromisso.
- Uso pessoal:
dailybot login. - Automação / CI / cron:
$DAILYBOT_API_KEY. - Agentes de IA: a mesma
$DAILYBOT_API_KEY.
Os quatro endpoints CLI-only são os únicos que rejeitam chave de API por projeto:
GET /v1/cli/updates/GET /v1/cli/status/POST /v1/cli/chat/completions//v1/cli/auth/*
Requisitos de plano
Chaves de API requerem um plano pago do Dailybot. Cada requisição é validada contra o plano da organização do proprietário da chave a cada requisição. Uma org que fizer downgrade terá suas chaves paradas em até 60 segundos.
| Condição | HTTP | code |
|---|---|---|
| O proprietário da chave está desativado | 403 | api_key_owner_inactive |
| A organização está no plano gratuito | 403 | plan_free_api_keys_forbidden |
| O plano não inclui acesso à API | 403 | plan_missing_core_api_integrations |
owner vs. created_by
Cada chave de API registra dois usuários distintos:
owner— o usuário cuja identidade e escopo de função a chave atua. As requisições veem os dados do proprietário, limitados pelo seu papel.created_by— o admin que criou a chave. Pode ser nulo em chaves históricas. Usado para auditoria.
Ciclo de vida da chave (show-once)
Os segredos de chave de API seguem a semântica show-once — a chave em texto pleno só é retornada no momento da criação ou regeneração. Depois, apenas os últimos 4 caracteres (key_suffix) são exibidos.
| Ação | Chave completa visível? | Leituras posteriores mostram |
|---|---|---|
Criar (POST) | ✅ Sim, na resposta 201 | Apenas key_suffix |
Regenerar (PATCH com regenerate: true) | ✅ Sim, na resposta 200 | Apenas key_suffix |
Listar / Detalhe (GET) | ❌ Nunca | Apenas key_suffix |
Atualizar sem regenerar (PATCH) | ❌ Nunca | Apenas key_suffix |
Warning
••••••••xxxx.Acesso de membros a chaves de API
Membros não administradores já podem gerenciar suas próprias chaves de API.
- Admin: vê e gerencia todas as chaves da org; pode criar chaves para outros usuários.
- Membro: vê e gerencia apenas suas próprias chaves. Não pode criar chaves de agente nem para outros.
Lista de endpoints permitidos no plano gratuito (CLI)
Tokens CLI Bearer em organizações de plano gratuito só podem acessar um conjunto restrito de endpoints. Os demais retornam 403 plan_upgrade_required.
POST /v1/agent-reports/— limite 50/dia por orgPOST /v1/send-email/— limite 20/dia por orgGET/POST /v1/agent-messages/,POST /v1/agent-messages/read/GET /v1/agent/health/, fluxo de registro e claim de agentesGET /v1/me/,GET /v1/organization/,GET /v1/cli/status/
Matriz de métodos de autenticação
Info
/v1/. Não há restrição no lado do servidor que limite as chaves de API a operações de agente.| Grupo de endpoints | Chave de API | CLI Token | OAuth2 |
|---|---|---|---|
| /v1/me/ | ✅ | ✅ | ✅ |
| /v1/organization/ | ✅ | ✅ | — |
| /v1/users/ | ✅ | ✅ | — |
| /v1/teams/, membros | ✅ | ✅ | — |
| /v1/templates/, /v1/checkins/ | ✅ | ✅ | ✅ |
| /v1/forms/ (tudo) | ✅ | ✅ | — |
| /v1/kudos/ (list, create, boost, organization, wall-of-fame) | ✅ | ✅ | — |
| /v1/workflows/ | ✅ | ✅ | — |
| /v1/send-message/ | ✅ | ✅ | — |
| /v1/agent-reports/, health, messages, email | ✅ | ✅ | — |
| /v1/cli/updates/, /v1/cli/status/ | ✅ | ✅ | — |
| /v1/cli/chat/completions/ | ✅ | ✅ | — |
| /v1/cli/auth/status/ | ✅ | ✅ | — |
| /v1/cli/auth/logout/ | — | ✅ | — |
| /v1/platform/* | ✅ | — | — |
URL Base y Versionado
Todos los endpoints API usan la siguiente URL base:
https://api.dailybot.com/v1/La API está versionada a través de la ruta de URL. La versión actual y única es v1. Se recomienda configurar tu cliente HTTP con el prefijo base completo incluyendo la versión para asegurar compatibilidad futura.
Token de Intercambio
El mecanismo de Token de Intercambio te permite hacer llamadas API en nombre de otros membros de la organización. Esto es útil para escenarios como:
- Dar kudos a membros del equipe programáticamente
- Completar respostas de check-in para otros usuários
- Realizar acciones en el contexto de un usuário diferente
Obtención de Tokens de Intercambio
Hay dos formas de obter un token de intercambio:
1. Vía ChatOps y Comandos Personalizados
Cuando un usuário activa un comando personalizado en el chat, el comando recibe un token de intercambio que puede usarse para hacer llamadas API en el contexto de ese usuário.
2. Vía Endpoint API Dedicado
Puedes solicitar un token de intercambio para un usuário específico a través de un endpoint dedicado, siempre que tu API key tenga los permisos necesarios.
Función Desactivada por Defecto
Límites de Tasa
La API de Dailybot aplica límites de tasa para asegurar un uso justo. Si excedes el límite, recibirás una resposta429 Too Many Requests.
Response429 Demasiadas Peticiones
{
"detail": "Request was throttled. Expected available in 30 seconds."
}Tip
Mejores Prácticas de Seguridad
- Nunca subas API keys a control de versiones ni las expongas en código del lado del cliente
- Usa variables de entorno o un gestor de secretos para almacenar credenciales
- Rota las claves regularmente y revoga inmediatamente cualquier clave comprometida
- Revoga claves no utilizadas desde el dashboard de Integraciones
- Usa apenas HTTPS — todas las peticiones API deben usar cifrado TLS
- Monitorea el uso de la API a través del dashboard para detectar atividade inesperada