Pomoc i poradnikiAPI i integracje › Generowanie tokenu API

Generowanie tokenu API

2 min czytania · API i integracje

Token API to Twój osobisty klucz do programowego dostępu do ePulz.io. Przydaje się, gdy chcesz korzystać z usługi ze skryptów, własnych narzędzi lub potoku CI/CD. Przez API możesz tworzyć i zmieniać monitory, pobierać dane o dostępności albo włączyć wyniki pomiarów do własnych systemów. Ten poradnik pokazuje, gdzie wygenerować token, jak wygląda, gdzie go bezpiecznie przechowywać i jak go unieważnić.

Zarządzanie tokenami API - prefiks epulzio_ i ostatnie użycie
Zarządzanie tokenami API: nazwa, prefiks epulzio_ i czas ostatniego użycia.

Gdzie wygenerować token

Tokeny są powiązane z konkretnym użytkownikiem - każdy członek zespołu ma własne tokeny z własnymi uprawnieniami.

  • W panelu otwórz sekcję Tokeny API (ścieżka /dashboard/api-tokens).
  • Kliknij + Nowy token.
  • Podaj zrozumiałą nazwę, po której rozpoznasz token (na przykład Potok CI/CD lub Wewnętrzny panel).
  • Token jest ważny, dopóki go nie unieważnisz - nie ma stałej daty wygaśnięcia.
  • Po kliknięciu Utwórz wyświetli się pełna wartość tokenu. Skopiuj ją od razu - ze względów bezpieczeństwa już jej nie zobaczysz.

Jak wygląda token

Każdy token zaczyna się prefiksem epulzio_ i ma łącznie ponad 40 znaków. Przykład (skrócony):

epulzio_2bF7nQ9k4Lm8XzR0pT3vYw5sH1cJ6dE...

Prefiks służy temu, byś natychmiast rozpoznał token wśród innych ciągów znaków - na przykład przy przeszukiwaniu logów lub skanowaniu repozytoriów w poszukiwaniu wycieku klucza.

Jak używać tokenu

Token wysyła się w nagłówku HTTP Authorization w postaci:

Authorization: Bearer epulzio_xxxxxxxxxxxxxxxx

Przykład wywołania w terminalu:

curl -H "Authorization: Bearer epulzio_..." https://epulz.io/api/v1/monitors

Gdzie bezpiecznie przechowywać token

Traktuj token jak hasło. Nigdy nie umieszczaj go w publicznie dostępnym kodzie, dokumentacji ani wiadomościach na czacie.

  • Lokalnie podczas pracy: w zmiennej środowiskowej, na przykład EPULZIO_TOKEN w pliku .env (który znajduje się w .gitignore).
  • W CI/CD: przez sekrety oferowane przez Twoją platformę (GitHub Actions secrets, GitLab CI variables, Bitbucket repository variables i tym podobne).
  • Na serwerach: przez systemowe zmienne środowiskowe lub menedżer sekretów (HashiCorp Vault, AWS Secrets Manager).
Wskazówka: Dla każdego systemu korzystającego z API utwórz osobny token z własną nazwą. Przy ewentualnym wycieku po prostu unieważnisz tylko ten dotknięty, a pozostałe integracje działają dalej bez zmian.

Jak unieważnić token

  • Na liście tokenów znajdź ten, który chcesz unieważnić, i kliknij Unieważnij.
  • Unieważnienie działa natychmiast - kolejne wywołania z tym tokenem otrzymają odpowiedź 401 Unauthorized (token nieważny).
  • Unieważnionego tokenu nie da się przywrócić. Jeśli potrzebujesz go z powrotem, wygeneruj nowy.

Co jakiś czas przejrzyj listę aktywnych tokenów i usuń te, których już nie używasz. Mniej aktywnych tokenów oznacza mniejszą powierzchnię ataku.

Czy ten poradnik był pomocny?