范围限定令牌：最佳实践

范围限定令牌只允许访问所需内容，从而在凭证泄露时降低风险。

为每个令牌可通过特定 API 执行的操作设置具体权限。

简化令牌管理，尤其是在与多个团队或外部合作伙伴协作时。

深入了解令牌使用情况，更好地理解 API 流量并有效管理速率限制。

轻松创建、管理和撤销令牌，而不会影响其他集成。

通过仅选择您的集成实际需要的特定 API 和 HTTP 方法（如 GET、POST、PUT、DELETE）来定义作用域。如果您的集成只需要检索数据，则仅使用 GET 方法授予对该 API 的访问权限。

始终从所需的最低访问级别开始，仅在绝对必要时再添加更多权限。除非您的集成明确需要，否则避免启用 POST、PUT 或 DELETE 方法。

为每个令牌提供清晰、有意义的名称，并包含详细说明。这有助于您的团队更有效地管理、理解和审计令牌使用情况。

确保每个令牌都有指定的技术联系人。此人将负责接收与 API 访问和集成性能相关的重要更新、提醒或通知。

确保令牌与您的集成所使用的 API 版本保持一致。这有助于保持兼容性并防止意外错误。

养成定期检查令牌使用方式的习惯。您可以通过设置仪表板来跟踪令牌活动，或向 impact.com 索取使用详情。同时，注意集成中的频繁错误。

如果令牌拥有超出所需的权限，一旦泄露就会很危险。为防止这种情况，请比较令牌被允许执行的操作与其实际执行的操作。如果它拥有不需要的访问权限，请将其移除。

定期更改令牌凭证，以帮助保障系统安全。尽量每隔几个月更新一次令牌——每季度一次是个不错的做法。创建新令牌后，请确保更新您的集成以使用新的令牌。

为每个令牌提供一个名称和描述，说明该令牌的用途及其所有者。包含使用该令牌的应用或系统、用途，以及它是用于测试还是线上环境等信息。此外，为团队中每个令牌指定一名主要联系人，以便在出现问题时联系。

旧令牌或未使用的令牌可能带来安全风险。安排定期清理——每月或每季度一次——检查所有令牌。删除或停用任何不再需要的令牌。

不会。使用旧版令牌的现有集成将继续运行。不过，我们建议迁移到范围限定的 API 访问令牌，以获得更好的安全性和管理能力。

旧版令牌 是一种较早的访问令牌类型，早于 范围限定令牌。范围限定令牌在 2025 年 5 月之后可在 impact.com 上使用。

了解更多关于 确保您的访问令牌安全.

每个账户最多可拥有 20 个处于激活状态的范围限定令牌。可根据需要停用或删除令牌。

被停用的令牌将被拒绝访问，并返回 403“访问被拒绝”响应。这样可以在不删除令牌的情况下进行临时停用。

不可以，删除功能会永久删除访问令牌及其分配的任何权限。如果您误删了令牌，您可以创建一个新令牌并选择作用域。现有集成需要更新为使用新的访问令牌凭证。

可以，范围限定访问令牌属于已实施的账户级速率限制的一部分。

我们的范围限定访问令牌仅支持基本身份验证。

如果您在没有有效范围限定访问令牌的情况下向 API 发出请求，您将看到 403“访问被拒绝”响应。