获取访问令牌
令牌具有与令牌申请者相同的访问资源和对资源执行操作的能力,请谨慎使用。
获取个人访问令牌
在右上角的吊顶点击头像 > 个人设置 > 个人访问令牌 > 新建令牌
获取应用访问令牌
进入企业管理->应用开放中心->应用->信息与凭证页,获取应用凭证信息,包括AppId和AppSecret,调用接口生成应用访问令牌:
curl 'https://<your-host>/open/v1/apps/tokens' \
-H 'Content-Type: application/json' \
-H 'Accept: application/json' \
-d '{
"appId": "<your-appId>",
"appSecret": "<your-appSecret>"
}'
应用访问令牌的授权范围可以通过应用开发后台的API授权进行管理。在使用应用访问令牌时需要注意:令牌有效期为2小时,有效期内重复获取会返回相同令牌,过期后会生成新令牌。建议在使用过程中自行缓存,便于后续接口调用。
令牌授权
在创建令牌时,需要选择令牌可访问的API权限点和有效时间,权限点选择遵循最小授权原则,有效时间尽量选择在需要的范围内,不使用永久时间。 令牌具有与令牌申请者相同的访问资源和对这些资源执行操作的能力,并且还受到授予令牌的API权限范围限制。令牌无法向用户授予额外访问权限功能。
安全保管
- 处理身份验证凭据的方式与处理密码或其他敏感凭据的方式相同;
- 不要使用未加密的消息或电子邮件、IM等系统共享令牌;
- 不要在命令行中以纯文本形式传递令牌;
- 不要将未加密的令牌推送到公共代码库等不受控的系统中;
谨慎使用
- 请勿将令牌硬编码到代码并推送到公共仓库。可以将令牌写到环境变量中,调用接口时通过访问环境变量将 token 写入请求体,避免因代码非正常访问造成的令牌泄露进而引发数据泄露风险;
- 请养成良好习惯,不使用永久令牌并定期或不定期更新令牌;
- 在发现令牌泄露时,请第一时间删除令牌;