API-ключи
Создание и отзыв ключей, области доступа.
API-ключ — это секрет, которым подтверждается принадлежность запроса к организации. Он используется для входа в консоль и для всех программных обращений к платформе — REST API и MCP.
Вход в консоль
На экране входа (app.cosai.pro) введите ключ в поле «API-ключ» (формат cosai_sk_…) и нажмите «Войти». Если ключ не подходит, консоль сообщит об этом и не пустит дальше. Сменить ключ (например, для переключения на другую организацию) можно через выпадающее меню организации в левой панели — пункт «Сменить ключ».
Области доступа (scope)
Ключи различаются по областям доступа:
- ключ полного доступа — открывает все разделы консоли и все методы REST API (создание баз знаний, агентов, скиллов, запуск eval, публикация);
- ключ со scope
chat:widget— предназначен только для встраиваемого чат-виджета на сайте: им можно только вести диалог с конкретным опубликованным агентом, и он дополнительно ограничен списком доверенных доменов (allowlist) — запрос с любого другого домена будет отклонён (см. Домен-allowlist).
Безопасность ключей
- Ключ полного доступа даёт доступ ко всем данным организации — храните его так же бережно, как пароль, и не публикуйте в клиентском коде сайта.
- Для встраивания на сайт используйте только ключ с ограниченным scope
chat:widget— именно для этого он и предназначен. - Платформа хранит не сам ключ, а его хеш, поэтому по утечке базы данных ключ восстановить нельзя — но при подозрении на компрометацию ключ всё равно нужно заменить на новый.
Управление ключами
Сегодня выпуск и ротация ключей организации выполняется на стороне платформы при подключении организации (или добавлении нового канала внедрения, например виджета для нового сайта) — отдельного самостоятельного экрана создания и отзыва ключей в консоли пока нет. Если нужен дополнительный ключ (например, отдельный виджет-ключ для нового домена) или нужно отозвать существующий — обратитесь к команде, обслуживающей вашу организацию на платформе.