Destacados
Las claves de API ahora se pueden revelar. Genere una en su Dashboard, váyase, vuelva la semana que viene y la clave seguirá allí esperándole tras un clic. También pulimos tres asperezas en el playground de la API para que el reproductor de curl realmente funcione.
Novedades
Claves de API que puede volver a ver
La mayoría de las API de SaaS le entregan una clave una sola vez. Si la pierde, regenérela. Actualice cada servicio que use la clave antigua. Redespliegue. Ya conoce el proceso.
No nos gustaba ese patrón. Así que lo cambiamos.
Las claves creadas a partir de ahora vienen con una copia que se puede revelar. Abra su Dashboard, haga clic en el icono del ojo junto a cualquier clave, confirme y el valor completo de pk_live_... aparecerá ante usted. Quince segundos después, se oculta automáticamente y se borra de la página. Cada revelación se registra en el log de auditoría.
Algunos detalles que nos importaban:
- La ruta que autentica sus requests sigue siendo un hash unidireccional, intacto. La copia revelable es un segundo artefacto cifrado (AES-256-GCM) que reside junto a ella. Si alguna vez rotáramos la clave de cifrado, la validación seguiría funcionando.
- Las claves creadas antes de este cambio no se pueden revelar. No tienen una copia cifrada que se pueda leer. Seguirán funcionando para siempre a través de la ruta del hash. El Dashboard muestra un pequeño icono de candado y una sugerencia de "regenerar para habilitar", de modo que sepa qué claves tienen la nueva capacidad y cuáles no.
- El control de acceso coincide con el resto de la API de claves. Puede revelar sus propias claves. Un administrador de la organización puede revelar cualquier clave de la organización. Los miembros con permisos de escritura de equipo pueden revelar las claves del equipo. Los roles de solo lectura no pueden.
- Las claves que un administrador de la organización crea en nombre de un compañero de equipo también se pueden revelar, bajo las mismas reglas. La capacidad reside en la clave, no en la interfaz que la creó.
Si ha estado acumulando entradas en su gestor de contraseñas para las claves de FourA, ya puede dejar de hacerlo.
El reproductor de curl ahora es curl real
Cada request que construye en el playground viene con un comando curl listo para copiar y pegar al lado. La idea es sencilla: defina correctamente el request en la interfaz de usuario, copie el curl y colóquelo en un script, en la terminal de un compañero o en un informe de error.
Hasta esta semana, el curl tenía un marcador de posición donde debía ir la clave (PASTE_PLAINTEXT_FOR_my-key), y tenía que completarlo a mano antes de ejecutarlo. El reproductor no era un reproductor. Era una plantilla.
Eso se acabó. Para cualquier clave que se pueda revelar, el playground tiene un botón Reveal en el panel de curl. Haga clic en él, el texto plano real se insertará en el curl, copie todo, péguelo en su terminal y se ejecutará. Haga clic de nuevo para ocultarlo. La revelación se realiza solo en memoria para esa sesión, nunca se escribe en el disco, y el panel de curl sigue al menú desplegable de claves, por lo que cambiar de clave nunca filtra una en otra. Las claves más antiguas que no se pueden revelar siguen mostrando el marcador de posición, porque no podemos recuperar su texto plano.
Botón de cancelación en requests en curso
Si lanzaba un request en el playground contra un sitio de destino lento, la única opción solía ser esperar a que expirara el tiempo de espera. Añadimos un botón Cancel al panel de carga. Haga clic en él, el request se aborta de forma limpia y el área de response vuelve a su estado inactivo con "Request canceled." en lugar de un error alarmante.
Un pequeño detalle. Pero ahora el playground se siente como una herramienta real en lugar de una demostración. Puede probar un sitio inestable, abortar, ajustar el request, volver a intentarlo, sin tener que quedarse sentado esperando.
Bajo el capó
Tres pequeños ajustes de seguimiento en el botón Reveal de curl tras el lanzamiento inicial: el mensaje emergente de error muestra un texto amigable en lugar del código de error de la máquina, el botón no puede quedarse atascado en "Revealing…" si ocurre otro fallo, y se corrigió un error de especificidad de CSS que mantenía el botón visible en las claves que no admiten la revelación.
Si experimentó alguno de estos problemas, ya deberían estar solucionados. Si no, no se ha perdido de nada.
Genere, copie, pegue, piérdale la pista. Vuelva más tarde. El Dashboard lo recuerda.