Pular para o conteúdo principal
Os Tokens de acesso pessoal estão atualmente em beta fechado e dependem de feature flags. Entre em contato com o suporte para solicitar acesso. Os PATs não estão disponíveis para contas com SSO/Enterprise.

Visão geral

Tokens de Acesso Pessoal (PATs) permitem que usuários humanos se autentiquem programaticamente com sua própria identidade. Ao contrário das chaves de API de usuário de serviço (que autenticam como um usuário de serviço não humano), um PAT autentica como você — o usuário humano que criou o token.
Tipo de tokenAutentica comoIdentidadePermissões
Chave de API de Usuário de ServiçoUsuário de Serviço (não humano)A identidade do usuário de serviçoA função atribuída ao usuário de serviço
Token de Acesso PessoalUsuário (humano)Sua identidade de usuárioSuas permissões e associações à org
Todas as credenciais de API usam o formato de prefixo cog_. Ambos os tipos de token são usados da mesma forma no cabeçalho Authorization: 
curl "https://api.devin.ai/v3/organizations/$DEVIN_ORG_ID/sessions" \
  -H "Authorization: Bearer $YOUR_PAT"

Quando usar PATs

PATs foram criados para cenários em que você precisa de acesso programático à API em seu próprio nome:
  • Scripts e ferramentas pessoais — automatize seus próprios workflows sem um usuário de serviço compartilhado
  • Desenvolvimento local — teste integrações de API usando sua própria conta
  • Automação de curta duração — scripts pontuais que devem ser atribuídos a você
Para integrações em produção, pipelines de CI/CD e automações compartilhadas, use Chaves de API de usuários de serviço. Usuários de serviço oferecem melhores trilhas de auditoria, gerenciamento centralizado de chaves e controles de RBAC.

Como funciona

  1. Gere um PAT nas configurações da sua conta
  2. O token começa com cog_ e é exibido apenas uma vez, no momento da criação
  3. Use o token no cabeçalho Authorization — exatamente como uma chave de API de usuário de serviço
  4. Cada chamada à API é autenticada como sua conta de usuário — suas permissões, associações à org e trilha de auditoria se aplicam

Principais diferenças em relação às chaves de API de usuário de serviço

AspectoChave de API de usuário de serviçotoken de acesso pessoal
IdentidadeUsuário de serviço não humanoSua conta de usuário humana
PermissõesControladas pela função de RBAC atribuídaHerda suas permissões atuais
Trilha de auditoriaAções atribuídas ao usuário de serviçoAções atribuídas a você
Gerenciamento de chavesGerenciadas por administradores da org/enterpriseGerenciadas por você pessoalmente
Caso de usoAutomação de produção, CI/CDScripts pessoais, ferramentas locais
DisponibilidadeDisponibilidade geralBeta fechado

Limitações

  • Beta fechado: os PATs exigem que uma feature flag esteja ativada na sua conta
  • Não disponível para contas com SSO/Enterprise: atualmente, limitado a contas sem SSO
  • Escopo pessoal: os PATs estão vinculados à sua conta individual e não podem ser compartilhados

Considerações de segurança

  • Trate os PATs com o mesmo cuidado que senhas — eles dão acesso total à sua conta
  • Armazene os PATs em variáveis de ambiente ou gerenciadores de segredos, nunca no código-fonte
  • Revogue os PATs imediatamente se forem comprometidos
  • Use o escopo mínimo necessário para o seu caso de uso
  • Prefira chaves de API de usuários de serviço para qualquer automação compartilhada ou de produção

Próximas etapas