# Token con ambito: best practice
impact.com ti consente di creare *token con ambito*: credenziali API con permessi granulari, che concedono l'accesso a endpoint API specifici. Scopri di più su [come mantenere i tuoi token al sicuro](https://help.impact.com/other/it/readme/api-access-tokens-and-changelog/keep-your-access-tokens-secure).
#### Vantaggi dei token con ambito
Maggiore sicurezza
I token con ambito consentono solo l'accesso a ciò che è necessario, riducendo il rischio se le credenziali vengono compromesse.
Migliore controllo degli accessi
Imposta permessi specifici per ciò che ogni token può fare con API specifiche.
Semplifica la gestione
Semplifica la supervisione dei token, soprattutto quando si lavora con più team o partner esterni.
Monitoraggio approfondito
Ottieni visibilità sull'utilizzo dei token per comprendere meglio il traffico API e gestire efficacemente i limiti di velocità.
Gestione dei token migliorata
Crea, gestisci e revoca facilmente i token senza interrompere altre integrazioni.
#### Best practice per creare token con ambito
Segui queste best practice per garantire sicurezza, chiarezza e gestione efficace quando crei token con ambito:
Scegli solo le API e i metodi di cui hai bisogno
Definisci gli ambiti selezionando solo le API specifiche e i metodi HTTP, come GET, POST, PUT, DELETE, realmente richiesti dalla tua integrazione. Se la tua integrazione deve solo recuperare dati, concedi l'accesso all'API usando solo il metodo GET.
Applica il principio del privilegio minimo
Inizia sempre con il livello minimo di accesso necessario e aggiungi altri permessi solo se assolutamente necessario. Evita di abilitare i metodi POST, PUT o DELETE a meno che la tua integrazione non li richieda esplicitamente.
Usa nomi e descrizioni esplicativi
Assegna a ogni token un nome chiaro e significativo e includi una descrizione dettagliata. Questo aiuta il tuo team a gestire, comprendere e verificare l'uso dei token in modo più efficace.
Assegna un referente tecnico responsabile
Assicurati che ogni token abbia un referente tecnico designato. Questa persona sarà responsabile della ricezione di aggiornamenti importanti, avvisi o notifiche relativi all'accesso alle API e alle prestazioni dell'integrazione.
Seleziona la versione corretta dell'API
Assicurati che il token sia allineato con la versione dell'API per cui la tua integrazione è stata sviluppata. Questo aiuta a mantenere la compatibilità e previene errori imprevisti.
#### Monitora e gestisci i token con ambito
Controlla regolarmente l'utilizzo dei token
Abbi l'abitudine di controllare come vengono utilizzati i tuoi token. Puoi farlo configurando una dashboard per monitorare l'attività dei token oppure chiedendo a impact.com i dettagli sull'utilizzo. Inoltre, prendi nota degli errori frequenti nella tua integrazione.
Evita di concedere troppi accessi
I token che hanno più permessi del necessario possono essere pericolosi se vengono mai esposti. Per prevenire questo rischio, confronta ciò che un token è autorizzato a fare con ciò che sta effettivamente facendo. Se ha accessi di cui non ha bisogno, rimuovili.
Ruota spesso i token
Cambia regolarmente le credenziali dei token per contribuire a mantenere sicuro il tuo sistema. Cerca di aggiornare i token ogni pochi mesi: una volta al trimestre è una buona regola. Quando crei un nuovo token, assicurati di aggiornare le integrazioni per usare quello nuovo.
Usa nomi e descrizioni chiari
Assegna a ogni token un nome e una descrizione che spieghino a cosa serve il token e a chi appartiene. Includi dettagli come l'app o il sistema che lo utilizza, il suo scopo e se è destinato ai test o all'uso in produzione. Inoltre, assegna una persona del tuo team come contatto principale per ciascun token in caso di problemi.
Rimuovi i token che non usi
I token vecchi o inutilizzati possono creare rischi per la sicurezza. Pianifica pulizie regolari, mensili o trimestrali, per esaminare tutti i token. Elimina o disabilita quelli che non sono più necessari.
#### Domande frequenti
Le integrazioni esistenti saranno interessate?
No. Le integrazioni esistenti che utilizzano token legacy continueranno a funzionare. Tuttavia, consigliamo di passare ai token di accesso API con ambito per una sicurezza e una gestione migliori.
Cosa sono i token legacy?
*Token legacy* sono un tipo più vecchio di token di accesso che precedeva *token con ambito*. I token con ambito sono stati resi disponibili su impact.com dopo maggio 2025.
Quali sono le best practice per mantenere i token al sicuro?
Scopri di più su [come mantenere al sicuro i tuoi token di accesso](https://help.impact.com/other/it/readme/api-access-tokens-and-changelog/keep-your-access-tokens-secure).
Quanti token con ambito posso creare?
Ogni account può avere fino a 20 token con ambito attivi. I token possono essere disattivati o eliminati secondo necessità.
Cosa succede quando un token viene disattivato?
Ai token disattivati verrà negato l'accesso, con una risposta 403 "Accesso negato". Questo consente una sospensione temporanea senza eliminare il token.
È possibile recuperare un token eliminato?
No, la funzionalità di eliminazione cancella in modo permanente il token di accesso e tutti i permessi assegnati. Se hai eliminato il token per errore, potrai crearne uno nuovo e selezionare gli ambiti. Le integrazioni esistenti dovranno essere aggiornate per usare le nuove credenziali del token di accesso.
Un token con ambito può essere soggetto a limiti di velocità?
Sì, i token di accesso con ambito fanno parte del rate limiting a livello di account già in essere.
Quale metodo di autenticazione supportano i token con ambito?
I nostri token di accesso con ambito supportano solo l'autenticazione di base.
Cosa succede se usi un token non valido per accedere a un'API?
Se invii una richiesta a un'API senza un token di accesso con ambito valido, vedrai una risposta 403 “Accesso negato”.
