Chiavi API
Le chiavi API autenticano le richieste all'API di gestione di ConsentForge. Sono diverse dai token di incorporamento — tenetele segrete e usatele solo dal vostro backend.
Creare una chiave API
Account → Chiavi API → Crea Chiave
- Inserite un nome descrittivo (es. "Sincronizzazione backend — produzione")
- Selezionate gli ambiti necessari per la vostra integrazione (il minimo necessario)
- Impostate una data di scadenza (facoltativo ma consigliato)
- Cliccate su Crea
Copiate la chiave immediatamente — viene mostrata solo una volta.
Ambiti disponibili
| Ambito | Accesso |
|---|---|
properties:read | Elenca e visualizza le proprietà |
properties:write | Crea e aggiorna le proprietà |
policies:read | Visualizza le policy e le versioni |
policies:write | Crea, pubblica, ripristina le policy |
receipts:read | Visualizza le ricevute di consenso |
receipts:export | Esporta le ricevute (set di risultati di grandi dimensioni) |
webhooks:read | Visualizza la configurazione webhook |
webhooks:write | Crea e aggiorna i webhook |
users:read | Elenca gli utenti dell'account |
users:write | Invita e rimuovi utenti |
scan:trigger | Attiva scansioni tramite API |
admin | Accesso completo — usatelo con parsimonia |
Scadenza della chiave
Impostate una data di scadenza per limitare il danno potenziale se una chiave viene compromessa. Le chiavi scadute smettono di funzionare automaticamente.
Ruotate le chiavi regolarmente. Per ruotare: create una nuova chiave → aggiornate la vostra integrazione → eliminate la vecchia chiave.
Revocare una chiave
Account → Chiavi API → [Nome chiave] → Revoca
La revoca è immediata. Qualsiasi integrazione che utilizza la chiave inizierà a ricevere risposte 401 Unauthorized.
Migliori pratiche per la sicurezza delle chiavi
- Memorizzate le chiavi in variabili di ambiente o in un gestore di segreti, mai nel codice sorgente
- Usate una chiave per integrazione (più facile da revocare se una singola chiave è compromessa)
- Usate l'ambito più ristretto che funziona per il vostro caso d'uso
- Impostate una data di scadenza per le chiavi usate nelle pipeline CI/CD