Personal access token
Un personal access token (un valor cpt_pat_...) es cómo alcanzas Caputchin desde fuera del dashboard: la API HTTP, el servidor MCP, y el proveedor de Terraform se autentican todos con él como un token Bearer. Tu cuenta tiene exactamente uno, es gratis, y lo gestionas desde ajustes de cuenta.
Es distinto del secreto de una clave de sitio (cpt_sec_...), que es solo para la verificación en tiempo de ejecución. El personal access token es para gestionar tu cuenta; el secreto de sitio es para comprobar los tokens de una sola clave. Tienen radios de explosión muy distintos, así que trata el personal access token con más cuidado.
Lo que puede hacer
El personal access token lleva tu propio acceso completo. Es la credencial maestra de tu cuenta, así que cualquier cosa que puedas hacer en el dashboard, puede hacerla sobre la API, MCP, o Terraform:
- Crear, renombrar, y eliminar equipos.
- Gestionar miembros y sus permisos en cualquiera de tus equipos.
- Crear, configurar, y eliminar claves de sitio, y rotar sus secretos.
- Configurar la verificación alojada, la personalización de juego, y la seguridad.
- Acuñar, rotar, y revocar otros tokens, incluidos los troop access tokens.
- Ver asientos y ajustes a nivel de cuenta.
Lo que no puede hacer
- Facturación. Los cambios de plan, el pago, y la cancelación son solo del dashboard y nunca se exponen a ningún token. Mira facturación.
- Alcanzar otra cuenta. Solo actúa dentro de tu propia cuenta; no puede tocar recursos que no posees.
- Sobrevivir a la revocación. Una vez revocado o rotado, el valor viejo deja de autenticar en su siguiente uso.
Más fuerte que un troop access token
Hay dos tipos de token, y el personal access token es el más poderoso:
| Personal access token | Troop access token | |
|---|---|---|
| Alcance | Maestro sobre toda la cuenta, cada equipo y cada sitio | Solo los equipos concretos a los que está adjunto, con los permisos concedidos ahí |
| Cuántos | Exactamente uno por cuenta | Tantos como tus asientos permitan |
| Coste | Gratis | Ocupa un asiento de tu pool |
| Puede acuñar otros tokens | Sí | No |
| Mejor para | Tu propia automatización e infraestructura como código sobre toda la cuenta | Dar a un compañero o un servicio acceso acotado, de mínimo privilegio, a ciertos equipos |
Echa mano de un troop access token cuando quieras conceder acceso estrecho, de mínimo privilegio; echa mano del personal access token cuando estés automatizando tu propia cuenta de principio a fin. Los troop access tokens se cubren bajo equipos.
Gestionarlo
Acuñas, rotas, y revocas el token desde ajustes de cuenta:
- Acuñar crea el token. Su valor se muestra una vez, al crearlo; cópialo entonces, porque Caputchin solo guarda un hash y no puede volver a mostrarlo nunca.
- Rotar cambia el secreto en el sitio. El id y el nombre se quedan igual; el valor viejo deja de funcionar de inmediato, así que actualízalo dondequiera que lo uses.
- Revocar lo desactiva. La siguiente petición con el valor viejo falla.
Rastrear su uso en los audit logs
En el plan Apex, cada acción que el token toma está en los audit logs, atribuida al token por nombre (no a una sesión de navegador), así que puedes distinguir la automatización de una persona.
- El propio ciclo de vida del token (acuñar, rotar, revocar) está en el log de cuenta como
account.pat.mint,account.pat.rotate, yaccount.pat.revoke. - Cualquier cosa que el token hace luego se registra en el nivel que tocó, con el token como el actor: los cambios de equipo en el log de equipo, los cambios de clave de sitio en el log de clave de sitio.
En cualquier log, filtra el actor a personal access tokens (o busca el nombre del token) para ver exactamente lo que hizo, y activa los intentos denegados para atrapar cualquier cosa que intentó pero no se le permitió hacer.
Véase también
- Ajustes de cuenta: donde lo acuñas, rotas, y revocas.
- Automatización: usar el token con la API, MCP, y Terraform.
- Audit logs: rastrear lo que el token hizo.