Personal Access Token

Ein Personal Access Token (ein cpt_pat_...-Wert) ist, wie du Caputchin von außerhalb des Dashboards erreichst: die HTTP-API, der MCP-Server und der Terraform-Provider authentifizieren sich alle damit als Bearer-Token. Dein Konto hat genau eines, es ist kostenlos, und du verwaltest es aus den Kontoeinstellungen.

Es unterscheidet sich vom Secret eines Site-Keys (cpt_sec_...), das nur für die Laufzeit-Verifizierung ist. Das Personal Access Token ist zum Verwalten deines Kontos; das Site-Secret ist zum Prüfen der Tokens eines einzelnen Keys. Sie haben sehr verschiedene Schadensradien, also behandle das Personal Access Token mit mehr Sorgfalt.

Was es kann

Das Personal Access Token trägt deinen eigenen vollen Zugriff. Es ist die Master-Anmeldedatei für dein Konto, also kann alles, was du im Dashboard kannst, es über die API, MCP oder Terraform:

Teams erstellen, umbenennen und löschen.
Mitglieder und ihre Berechtigungen in jedem deiner Teams verwalten.
Site-Keys erstellen, konfigurieren und löschen und ihre Secrets rotieren.
Gehostete Verifizierung, Spiel-Anpassung und Sicherheit konfigurieren.
Andere Tokens prägen, rotieren und widerrufen, einschließlich Troop Access Tokens.
Sitze und Einstellungen auf Kontoebene einsehen.

Was es nicht kann

Abrechnung. Tarifänderungen, Zahlung und Kündigung sind nur im Dashboard und werden nie irgendeinem Token bereitgestellt. Sieh dir Abrechnung an.
Ein anderes Konto erreichen. Es agiert immer nur in deinem eigenen Konto; es kann Ressourcen nicht berühren, die du nicht besitzt.
Widerruf überleben. Einmal widerrufen oder rotiert, hört der alte Wert bei seiner nächsten Nutzung auf zu authentifizieren.

Stärker als ein Troop Access Token

Es gibt zwei Arten Token, und das Personal Access Token ist das mächtigere:

	Personal Access Token	Troop Access Token
Geltungsbereich	Master über das ganze Konto, jedes Team und jede Site	Nur die bestimmten Teams, an die es angehängt ist, mit den dort gewährten Berechtigungen
Wie viele	Genau eines pro Konto	So viele, wie deine Sitze erlauben
Kosten	Kostenlos	Nimmt einen Sitz aus deinem Pool
Kann andere Tokens prägen	Ja	Nein
Am besten für	Deine eigene Automatisierung und Infrastructure-as-Code über das ganze Konto	Einem Teammitglied oder einem Service eingeschränkten Least-Privilege-Zugriff auf bestimmte Teams geben

Greif zu einem Troop Access Token, wenn du engen, Least-Privilege-Zugriff gewähren willst; greif zum Personal Access Token, wenn du dein eigenes Konto von Ende zu Ende automatisierst. Troop Access Tokens sind unter Teams behandelt.

Es verwalten

Du prägst, rotierst und widerrufst das Token aus den Kontoeinstellungen:

Prägen erstellt das Token. Sein Wert wird einmal gezeigt, bei der Erstellung; kopier ihn dann, weil Caputchin nur einen Hash speichert und ihn nie wieder zeigen kann.
Rotieren tauscht das Secret an Ort und Stelle. Die id und der Name bleiben gleich; der alte Wert funktioniert sofort nicht mehr, also aktualisier überall, wo du es nutzt.
Widerrufen deaktiviert es. Die nächste Anfrage mit dem alten Wert schlägt fehl.

Seine Nutzung in den Audit-Logs nachverfolgen

Im Apex-Tarif ist jede Aktion, die das Token vornimmt, auf den Audit-Logs, dem Token per Name zugeschrieben (nicht einer Browser-Session), sodass du Automatisierung von einer Person unterscheiden kannst.

Der eigene Lebenszyklus des Tokens (Prägen, Rotieren, Widerrufen) ist auf dem Konto-Log als account.pat.mint, account.pat.rotate und account.pat.revoke.
Alles, was das Token dann tut, wird auf der Ebene aufgezeichnet, die es berührte, mit dem Token als Akteur: Team-Änderungen auf dem Team-Log, Site-Key-Änderungen auf dem Site-Key-Log.

In jedem Log filtere den Akteur auf Personal Access Tokens (oder such den Namen des Tokens), um genau zu sehen, was es tat, und schalt verweigerte Versuche ein, um alles zu fangen, was es versuchte, aber nicht durfte.

Siehe auch

Kontoeinstellungen: wo du es prägst, rotierst und widerrufst.
Automatisierung: das Token mit der API, MCP und Terraform nutzen.
Audit-Logs: nachverfolgen, was das Token tat.