Saltar al contenido principal
Los tokens de acceso personal están actualmente en beta cerrada y se habilitan mediante feature flags. Contacta con soporte para solicitar acceso. Los PAT no están disponibles para cuentas con SSO o Enterprise.

Resumen general

Los tokens de acceso personal (PAT) permiten a los usuarios humanos autenticarse de forma programática bajo su propia identidad. A diferencia de las API key de usuario de servicio (que autentican como un usuario de servicio no humano), un PAT autentica como : el usuario humano que creó el token.
Tipo de tokenSe autentica comoIdentidadPermisos
API Key de Usuario de ServicioUsuario de servicio (no humano)La identidad del usuario de servicioEl rol asignado al usuario de servicio
Token de Acceso PersonalUsuario (humano)Tu identidad de usuarioTus permisos y membresías de org
Todas las credenciales de API usan el formato de prefijo cog_. Ambos tipos de token se usan de forma idéntica en la cabecera Authorization: 
curl "https://api.devin.ai/v3/organizations/$DEVIN_ORG_ID/sessions" \
  -H "Authorization: Bearer $YOUR_PAT"

Cuándo usar PATs

Los PATs están diseñados para situaciones en las que necesitas acceso programático a la API en tu propio nombre:
  • Scripts y herramientas personales — automatiza tus propios flujos de trabajo sin un usuario de servicio compartido
  • Desarrollo local — prueba integraciones con la API usando tu propia cuenta
  • Automatización de corta duración — scripts puntuales que deben atribuirse a ti
Para integraciones de producción, pipelines de CI/CD y automatización compartida, usa API keys de usuarios de servicio en su lugar. Los usuarios de servicio proporcionan mejores registros de auditoría, gestión centralizada de claves y controles de RBAC.

Cómo funciona

  1. Genera un PAT en la Settings de tu cuenta
  2. El token comienza con cog_ y solo se muestra una vez, en el momento de su creación
  3. Usa el token en el encabezado Authorization — exactamente igual que una API key de un usuario de servicio
  4. Cada llamada a la API se autentica como tu cuenta de usuario: se aplican tus permisos, tus membresías de org y tu registro de auditoría

Diferencias clave con las API keys de usuario de servicio

AspectoAPI key de usuario de servicioToken de acceso personal
IdentidadUsuario de servicio no humanoTu cuenta de usuario humana
PermisosControlados por el rol de RBAC asignadoHereda tus permisos existentes
Registro de auditoríaAcciones atribuidas al usuario de servicioAcciones atribuidas a ti
Gestión de clavesGestionadas por los admins de org/EnterpriseGestionadas personalmente por ti
Caso de usoAutomatización de producción, CI/CDScripts personales, herramientas locales
DisponibilidadDisponibilidad generalBeta cerrada

Limitaciones

  • Beta cerrada: Los PAT requieren que se habilite una feature flag para tu cuenta
  • No disponible para cuentas con SSO/Enterprise: Actualmente, solo está disponible para cuentas sin SSO
  • Ámbito personal: Los PAT están vinculados a tu cuenta individual y no se pueden compartir

Consideraciones de seguridad

  • Trata los PAT con el mismo cuidado que las contraseñas: proporcionan acceso completo a tu cuenta
  • Almacena los PAT en variables de entorno o gestores de secretos, nunca en el código fuente
  • Revoca los PAT de inmediato si se ven comprometidos
  • Usa el ámbito mínimo necesario para tu caso de uso
  • Prefiere las API keys de usuario de servicio para cualquier automatización compartida o de producción

Próximos pasos