Chiavi API
Le chiavi API autenticano le richieste all'API di gestione ConsentForge. Sono diverse dai token di integrazione — tienile segrete e usale solo dal tuo backend.
Creare una chiave API
Account → Chiavi API → Crea chiave
- Inserisci un nome descrittivo (es. "Sync backend — produzione")
- Seleziona gli scope necessari per la tua integrazione (il minimo necessario)
- Imposta una data di scadenza (opzionale ma consigliata)
- Clicca Crea
Copia la chiave immediatamente — viene mostrata solo una volta.
Scope disponibili
| Scope | Accesso |
|---|---|
properties:read | Elenca e visualizza proprietà |
properties:write | Crea e aggiorna proprietà |
policies:read | Visualizza policy e versioni |
policies:write | Crea, pubblica, ripristina policy |
receipts:read | Visualizza ricevute di consenso |
receipts:export | Esporta ricevute (set di risultati di grandi dimensioni) |
webhooks:read | Visualizza configurazione webhook |
webhooks:write | Crea e aggiorna webhook |
users:read | Elenca utenti account |
users:write | Invita e rimuovi utenti |
scan:trigger | Attiva scansioni tramite API |
admin | Accesso completo — usa con parsimonia |
Scadenza chiave
Imposta una data di scadenza per limitare i danni in caso di compromissione di una chiave. Le chiavi scadute smettono di funzionare automaticamente.
Ruota le chiavi regolarmente. Per ruotare: crea una nuova chiave → aggiorna la tua integrazione → elimina la chiave vecchia.
Revocare una chiave
Account → Chiavi API → [Nome chiave] → Revoca
La revoca è immediata. Qualsiasi integrazione che usa la chiave inizierà a ricevere risposte 401 Unauthorized.
Best practice per la sicurezza delle chiavi
- Conserva le chiavi in variabili d'ambiente o in un gestore di segreti, mai nel codice sorgente
- Usa una chiave per integrazione (più facile revocare una singola chiave compromessa)
- Usa lo scope più ristretto che funziona per il tuo caso d'uso
- Imposta una data di scadenza per le chiavi usate nelle pipeline CI/CD