Gerenciar chaves de API e segredos de webhook
As chaves de API e os segredos de webhook comprovam que uma automação se comunicando com o Dailybot está autorizada. Trate-os como senhas: de curta duração quando possível, rotacionados em um cronograma e revogados no momento em que você suspeitar de exposição.
Antes de começar
- Você precisa ser Organization admin ou ter uma função que possa gerenciar as configurações de Developers, Integrations ou API.
- Avise quem executa CI ou scripts de agentes antes de fazer a rotação das chaves, para que possam atualizar as variáveis de ambiente no mesmo dia.
Passos
- Faça login no app web do Dailybot e clique em Settings na barra lateral; em seguida, selecione API & integrations.
- Abra API keys, Developers ou Integrations e localize Create API key (ou equivalente).
- Crie uma nova chave com um rótulo descritivo (por exemplo,
prod-reporting-2026) e o escopo mínimo, se o produto oferecer tokens com escopo. - Copie a chave uma única vez e armazene-a em um secret manager ou cofre criptografado – nunca em chats, tickets ou repositórios públicos.
- Para webhooks, abra a configuração do webhook ou do Agent Inbox e anote o signing secret usado para verificar os payloads; copie-o para o ambiente do serviço consumidor.
- Rotacione em um cronograma: crie uma nova chave, atualize todos os chamadores (GitHub Actions,
.envlocal, hosts de agentes), verifique se o tráfego está funcionando e então revogue a chave antiga. - Revogue chaves comprometidas imediatamente na mesma tela; não espere a próxima janela de manutenção.
- Audite a lista trimestralmente: remova chaves com donos desconhecidos ou rótulos obsoletos.
- Se um parceiro de webhook vazou um segredo, gere um novo signing secret (se houver suporte), atualize o receptor e faça um teste de repetição com um evento de exemplo.
Boas práticas
- Prefira uma chave por integração para que o raio de impacto de uma revogação fique pequeno.
- Nunca faça commit de chaves no git; use
DAILYBOT_API_KEYou o secret store do seu CI. - Registre os timestamps de last used se o painel os exibir; chaves ociosas são boas candidatas à revogação.
O que esperar depois
A rotação faz com que os tokens antigos retornem erros 401 até que cada cliente seja atualizado. Após a revogação, as chaves roubadas deixam de funcionar. Para problemas de entrega após as mudanças, veja Webhooks não disparam e Erros de autenticação da API.