Je toegangstokens aanmaken en beheren
Genereer toegangstokens voor de API, kies hun permissies en beveilig je integraties met tokens in alleen-lezen.
Een token (of toegangssleutel) is de sleutel die een tool toelaat om met de Shyfter-API te communiceren. Elke integratie gebruikt haar eigen token, met haar eigen rechten. Je tokens goed beheren betekent dat je de controle houdt over wie waartoe toegang heeft, en dat je een toegang op elk moment kunt afsluiten.
Een token aanmaken
Open op het Open API-platform de sectie API Tokens en maak vervolgens een nieuw token aan. Je kunt er genereren voor persoonlijk gebruik of voor een externe integrator. Elk token krijgt een naam, zodat je gemakkelijk weet met welke tool het overeenkomt.
De permissies kiezen
Bij het aanmaken van een token bepaal je precies waartoe het toegang geeft. De permissies komen overeen met de grote domeinen van Shyfter, bijvoorbeeld:
- het rooster (shifts en uurroosters);
- het prikken (tijdsopvolging);
- de secties;
- de vaardigheden;
- de contracten;
- het afwezigheidsbeheer;
- de aangepaste attributen;
- de productiviteit (omzet).
Een token heeft enkel toegang tot de domeinen die je het hebt toegekend. De permissies gelden op accountniveau (ze gelden voor alle afdelingen waartoe het token toegang heeft).
Tokens in alleen-lezen
Je kunt een token markeren als alleen-lezen. Het kan de gegevens dan enkel raadplegen, nooit wijzigen. Dat is de juiste reflex voor een integratie die enkel informatie moet ophalen (een dashboard, een export), om elke onbedoelde wijziging te vermijden.
Goede beveiligingsgewoonten
- Maak één token per integratie aan: zo kun je er een intrekken zonder de andere te beïnvloeden.
- Geef elk gebruik het minimum aan permissies dat het nodig heeft.
- Kies bij voorkeur voor alleen-lezen zodra de tool niet hoeft te schrijven.
- Verwijder onmiddellijk een token dat niet meer gebruikt wordt of dat mogelijk is blootgesteld.
Goed om te weten over de limieten
Om de stabiliteit van de dienst te bewaren, past de API een limiet van 60 aanvragen per minuut en per token toe. Overschrijden je tools dat tempo, dan worden de aanvragen die er te veel zijn tijdelijk geweigerd: spreid de oproepen dan beter uit. Bij een ongewone fout bevat elk antwoord een opvolgingsnummer dat support kan gebruiken om je te helpen.
Een token is een gevoelig gegeven, net als een wachtwoord. Deel het nooit in leesbare vorm en noteer het niet op een openbare plaats.