Token con ambito: migliori pratiche

I token con ambiti consentono solo l'accesso a ciò che è necessario, riducendo il rischio se le credenziali vengono compromesse.

Imposta permessi specifici per ciò che ogni token può fare con API specifiche.

Snellisci la supervisione dei token, soprattutto quando lavori con più team o partner esterni.

Ottieni visibilità sull'uso dei token per comprendere meglio il traffico API e gestire efficacemente i limiti di velocità.

Crea, gestisci e revoca facilmente i token senza interrompere altre integrazioni.

Definisci gli ambiti selezionando solo le API e i metodi HTTP specifici, come GET, POST, PUT, DELETE, di cui la tua integrazione ha effettivamente bisogno. Se la tua integrazione deve solo recuperare dati, concedi accesso all'API utilizzando solo il metodo GET.

Inizia sempre con il livello minimo di accesso necessario e aggiungi permessi solo se assolutamente necessario. Evita di abilitare i metodi POST, PUT o DELETE a meno che la tua integrazione non li richieda esplicitamente.

Assegna a ciascun token un nome chiaro e significativo e includi una descrizione dettagliata. Questo aiuta il tuo team a gestire, comprendere e verificare l'uso dei token in modo più efficace.

Assicurati che ogni token abbia un referente tecnico designato. Questa persona sarà responsabile di ricevere aggiornamenti importanti, avvisi o notifiche relativi all'accesso API e alle prestazioni dell'integrazione.

Assicurati che il token sia allineato con la versione dell'API che la tua integrazione è progettata per utilizzare. Questo aiuta a mantenere la compatibilità e previene errori imprevisti.

Prendi l'abitudine di verificare come vengono usati i tuoi token. Puoi farlo configurando una dashboard per tracciare l'attività dei token o chiedendo a impact.com i dettagli di utilizzo. Nota anche gli errori frequenti nella tua integrazione.

I token che hanno più permessi del necessario possono essere pericolosi se mai esposti. Per prevenire questo, confronta ciò che un token è autorizzato a fare con ciò che fa effettivamente. Se ha accessi non necessari, rimuovili.

Cambia regolarmente le credenziali dei token per mantenere il sistema sicuro. Cerca di aggiornare i tuoi token ogni pochi mesi—una volta ogni trimestre è una buona regola. Quando crei un nuovo token, assicurati di aggiornare le integrazioni per usare quello nuovo.

Assegna a ogni token un nome e una descrizione che spieghino a cosa serve il token e chi ne è il proprietario. Includi dettagli come l'app o il sistema che lo usa, il suo scopo e se è per test o per uso in produzione. Inoltre, assegna una persona del tuo team come contatto principale per ogni token in caso di problemi.

I token vecchi o non utilizzati possono creare rischi per la sicurezza. Pianifica pulizie regolari—una volta al mese o al trimestre—per esaminare tutti i token. Elimina o disabilita qualsiasi token non più necessario.

No. Le integrazioni esistenti che utilizzano token legacy continueranno a funzionare. Tuttavia, raccomandiamo di passare a token di accesso API con ambiti per una sicurezza e una gestione migliori.

Token legacy sono un tipo più vecchio di token di accesso che precedeva token con ambiti. I token con ambiti sono diventati disponibili su impact.com dopo maggio 2025.

Ogni account può avere fino a 20 token con ambiti attivi. I token possono essere disattivati o eliminati secondo necessità.

I token disattivati verranno negati l'accesso, restituendo una risposta 403 "Accesso negato". Questo permette una sospensione temporanea senza eliminare il token.

Se effettui una richiesta a un'API senza un token di accesso con ambiti valido, vedrai una risposta 403 "Accesso negato".

No, la funzionalità di eliminazione cancella definitivamente il token di accesso e qualsiasi permesso assegnato. Se hai eliminato il token per errore, potrai crearne uno nuovo e selezionare gli ambiti. Le integrazioni esistenti dovranno essere aggiornate per usare le nuove credenziali del token di accesso.