Wszystkie wpisy

Digest FourA: 29 maja do 5 czerwca 2026

Klucze API utworzone w tym tygodniu można teraz podejrzeć. Dashboard je pamięta, generator curl w playgroundzie automatycznie je wkleja, a Ty możesz anulować powolne requesty.

Najważniejsze informacje

Klucze API można teraz podejrzeć. Wygeneruj jeden w swoim Dashboardzie, wyjdź, wróć za tydzień, a klucz nadal tam będzie, czekając na jedno kliknięcie. Wygładziliśmy też trzy niedociągnięcia w playgroundzie API, dzięki czemu generator curl faktycznie działa.

Co nowego

Klucze API, które możesz zobaczyć ponownie

Większość SaaS-owych API przekazuje klucz tylko raz. Zgubisz go, musisz wygenerować nowy. Zaktualizować każdą usługę, która korzysta ze starego klucza. Wdrożyć ponownie. Znasz to.

Nie podobał nam się ten schemat. Więc go zmieniliśmy.

Klucze utworzone od teraz mają kopię, którą można podejrzeć. Otwórz Dashboard, kliknij ikonę oka obok dowolnego klucza, potwierdź, a pełna wartość pk_live_... pojawi się przed Tobą. Piętnaście sekund później automatycznie się ukryje i zniknie ze strony. Każde podejrzenie klucza jest rejestrowane w logach audytowych.

Kilka szczegółów, które miały dla nas znaczenie:

  • Ścieżka uwierzytelniająca Twoje requesty to nadal nienaruszony, jednokierunkowy hash. Kopia do podejrzenia to drugi, zaszyfrowany artefakt (AES-256-GCM), który znajduje się obok niego. Gdybyśmy kiedykolwiek zmienili klucz szyfrujący, walidacja nadal by działała.
  • Kluczy utworzonych przed tą zmianą nie można podejrzeć. Nie mają zaszyfrowanej kopii do odczytania. Będą działać wiecznie przez ścieżkę hashowania. Dashboard pokazuje małą ikonę kłódki i wskazówkę "regenerate to enable", więc wiesz, które klucze mają nową funkcję, a które nie.
  • Kontrola dostępu jest zgodna z resztą API kluczy. Możesz podejrzeć własne klucze. Administrator organizacji może podejrzeć dowolny klucz w organizacji. Członkowie z uprawnieniami do zapisu w zespole mogą podejrzeć klucze zespołu. Role tylko do odczytu nie mają takiej możliwości.
  • Klucze, które administrator organizacji tworzy w imieniu członka zespołu, również można podejrzeć na tych samych zasadach. Ta funkcja jest przypisana do klucza, a nie do interfejsu, w którym został utworzony.

Jeśli gromadzisz wpisy w menedżerze haseł dla kluczy FourA, możesz przestać.

Generator curl to teraz prawdziwy curl

Każdy request, który tworzysz w playgroundzie, ma obok wersję curl gotową do skopiowania i wklejenia. Pomysł jest prosty: dopracuj request w UI, skopiuj curl, wrzuć go do skryptu, terminala kolegi z zespołu lub zgłoszenia błędu.

Do tego tygodnia curl zawierał placeholder w miejscu klucza (PASTE_PLAINTEXT_FOR_my-key), który trzeba było uzupełnić ręcznie przed uruchomieniem. Generator nie był generatorem. Był szablonem.

To już przeszłość. Dla każdego klucza, który można podejrzeć, playground ma przycisk Reveal w panelu curl. Kliknij go, a prawdziwy tekst jawny trafi do curl, skopiuj całość, wklej do terminala i gotowe. Kliknij ponownie, aby ukryć. Podejrzenie odbywa się wyłącznie w pamięci dla tej sesji, nigdy nie jest zapisywane na dysku, a panel curl śledzi listę rozwijaną kluczy, więc zmiana klucza nigdy nie spowoduje wycieku jednego do drugiego. Starsze klucze, których nie można podejrzeć, nadal pokazują placeholder, ponieważ nie możemy odzyskać dla nich tekstu jawnego.

Przycisk Cancel dla trwających requestów

Jeśli wysłałeś request z playgroundu do wolno działającej strony docelowej, jedyną opcją było czekanie na timeout. Dodaliśmy przycisk Cancel do panelu ładowania. Kliknij go, a request zostanie czysto przerwany, a obszar response wróci do stanu bezczynności z komunikatem "Request canceled." zamiast przerażającego błędu.

Mała rzecz. Ale playground wydaje się teraz prawdziwym narzędziem, a nie tylko wersją demonstracyjną. Możesz przetestować niestabilną stronę, przerwać, dostosować request, spróbować ponownie, bez konieczności siedzenia i czekania.

Pod maską

Trzy małe poprawki przycisku Reveal dla curl po początkowym wdrożeniu: powiadomienie error toast pokazuje przyjazny komunikat zamiast maszynowego kodu błędu, przycisk nie może zaciąć się na statusie "Revealing…", jeśli wystąpi inny błąd, oraz usunęliśmy błąd specyficzności CSS, który sprawiał, że przycisk był widoczny przy kluczach nieobsługujących podglądu.

Jeśli zauważyłeś któryś z tych problemów, powinny być już naprawione. Jeśli nie, nic nie straciłeś.

Wygeneruj, skopiuj, wklej, zgub. Wróć później. Dashboard pamięta.