Skip to content
Como fazerAdmin

Gerenciar chaves de API e segredos de webhook

Gerenciar chaves de API e segredos de webhook

As chaves de API e os segredos de webhook comprovam que uma automação se comunicando com o Dailybot está autorizada. Trate-os como senhas: de curta duração quando possível, rotacionados em um cronograma e revogados no momento em que você suspeitar de exposição.

Antes de começar

  • Você precisa ser Organization admin ou ter uma função que possa gerenciar as configurações de Developers, Integrations ou API.
  • Avise quem executa CI ou scripts de agentes antes de fazer a rotação das chaves, para que possam atualizar as variáveis de ambiente no mesmo dia.

Passos

  1. Faça login no app web do Dailybot e clique em Settings na barra lateral; em seguida, selecione API & integrations.
  2. Abra API keys, Developers ou Integrations e localize Create API key (ou equivalente).
  3. Crie uma nova chave com um rótulo descritivo (por exemplo, prod-reporting-2026) e o escopo mínimo, se o produto oferecer tokens com escopo.
  4. Copie a chave uma única vez e armazene-a em um secret manager ou cofre criptografado – nunca em chats, tickets ou repositórios públicos.
  5. Para webhooks, abra a configuração do webhook ou do Agent Inbox e anote o signing secret usado para verificar os payloads; copie-o para o ambiente do serviço consumidor.
  6. Rotacione em um cronograma: crie uma nova chave, atualize todos os chamadores (GitHub Actions, .env local, hosts de agentes), verifique se o tráfego está funcionando e então revogue a chave antiga.
  7. Revogue chaves comprometidas imediatamente na mesma tela; não espere a próxima janela de manutenção.
  8. Audite a lista trimestralmente: remova chaves com donos desconhecidos ou rótulos obsoletos.
  9. Se um parceiro de webhook vazou um segredo, gere um novo signing secret (se houver suporte), atualize o receptor e faça um teste de repetição com um evento de exemplo.

Boas práticas

  • Prefira uma chave por integração para que o raio de impacto de uma revogação fique pequeno.
  • Nunca faça commit de chaves no git; use DAILYBOT_API_KEY ou o secret store do seu CI.
  • Registre os timestamps de last used se o painel os exibir; chaves ociosas são boas candidatas à revogação.

O que esperar depois

A rotação faz com que os tokens antigos retornem erros 401 até que cada cliente seja atualizado. Após a revogação, as chaves roubadas deixam de funcionar. Para problemas de entrega após as mudanças, veja Webhooks não disparam e Erros de autenticação da API.

Artigos relacionados