Vai al contenuto principale
I token di accesso personali (PAT) sono attualmente in beta chiusa e vengono abilitati tramite feature flag. Contatta il supporto per richiedere l’accesso. I PAT non sono disponibili per gli account SSO/Enterprise.

Panoramica

I token di accesso personale (PAT) consentono agli utenti umani di autenticarsi a livello di codice con la propria identità. A differenza delle API key dell’utente di servizio (che autenticano come un utente di servizio non umano), un token di accesso personale autentica come te — l’utente umano che ha creato il token.
Tipo di tokenSi autentica comeIdentitàAutorizzazioni
API Key utente di servizioUtente di servizio (non umano)L’identità dell’utente di servizioIl ruolo assegnato all’utente di servizio
Token di accesso personaleUtente (umano)La tua identità utenteLe tue autorizzazioni e le org di cui fai parte
Tutte le credenziali API usano il formato con prefisso cog_. Entrambi i tipi di token vengono usati nello stesso modo nell’header Authorization: 
curl "https://api.devin.ai/v3/organizations/$DEVIN_ORG_ID/sessions" \
  -H "Authorization: Bearer $YOUR_PAT"

Quando usare i PAT

I PAT sono pensati per gli scenari in cui ti serve un accesso programmatico all’API a tuo nome:
  • Script e strumenti personali — automatizza i tuoi flussi di lavoro senza un utente di servizio condiviso
  • Sviluppo locale — testa le integrazioni API usando il tuo account
  • Automazione di breve durata — script una tantum che devono essere attribuiti a te
Per le integrazioni in produzione, le pipeline CI/CD e l’automazione condivisa, usa invece le API key degli utenti di servizio. Gli utenti di servizio offrono tracce di audit migliori, gestione centralizzata delle chiavi e controlli RBAC.

Come funziona

  1. Genera un PAT nelle Settings del tuo account
  2. Il token inizia con cog_ e viene mostrato una sola volta al momento della creazione
  3. Usa il token nell’header Authorization — esattamente come una API key di un utente di servizio
  4. Ogni chiamata API viene autenticata come il tuo account utente — si applicano le tue autorizzazioni, le tue appartenenze alle org e la traccia di audit

Differenze principali rispetto alle API key degli utenti di servizio

AspettoAPI key dell’utente di servizioToken di accesso personale
IdentitàUtente di servizio non umanoIl tuo account utente
AutorizzazioniControllate dal ruolo RBAC assegnatoEredita le autorizzazioni che hai già
Audit trailAzioni attribuite all’utente di servizioAzioni attribuite a te
Gestione delle chiaviGestita dagli amministratori dell’org/EnterpriseGestita direttamente da te
Caso d’usoAutomazione di produzione, CI/CDScript personali, strumenti locali
DisponibilitàGeneralmente disponibileBeta chiusa

Limitazioni

  • Beta chiusa: i PAT richiedono l’abilitazione di un feature flag per il tuo account
  • Non disponibile per account SSO/Enterprise: attualmente è limitato agli account non SSO
  • Ambito personale: i PAT sono associati al tuo account personale e non possono essere condivisi

Considerazioni sulla sicurezza

  • Tratta i PAT con la stessa cura riservata alle password: forniscono pieno accesso al tuo account
  • Conserva i PAT nelle variabili d’ambiente o in un gestore di segreti, mai nel codice sorgente
  • Revoca immediatamente i PAT se risultano compromessi
  • Usa l’ambito minimo necessario per il tuo caso d’uso
  • Per qualsiasi automazione condivisa o di produzione, preferisci le API key di un utente di servizio

Passaggi successivi