Авторизация

У каждого метода API есть требования для вызова:

  • Скоуп токена — почти все методы требуют определённый скоуп. Указан в шапке страницы метода и в OpenAPI-спецификации в поле x-requirements.scope.
  • Тарифный план — часть методов доступна только на определённом тарифе (например, экспорт или журнал аудита). Указан в шапке страницы метода рядом со скоупом и в OpenAPI-спецификации в поле x-requirements.plan.

Типы токенов

В Пачке есть два типа токенов:

  • Персональный токен — действует от имени пользователя. Подходит для скриптов, утилит и интеграций, которые работают от вашего имени: выгрузка данных, личная автоматизация, тестирование API.
  • Токен бота — действует от имени бота. Подходит для сервисных интеграций независимо от конкретного пользователя: чат-боты, уведомления из внешних систем, обработка вебхуков, интерактивные формы.

Настройка доступа

Владелец пространства может ограничить, кто может создавать токены и работать с API. Настройки находятся в разделе Настройки пространства:

  • Кто может создавать интеграции (токены ботов) — «Только администраторы» или «Администраторы и сотрудники»
  • Кто может работать с API (персональные токены) — «Только администраторы» (сотрудники не смогут создавать и использовать персональные токены) или «Все сотрудники»

Настройки доступа к API

Гости и мульти-гости не могут создавать токены любого типа вне зависимости от настроек пространства.

Персональный токен

Создать персональный токен можно в разделе Автоматизации > API.

На странице отображается список персональных токенов: название, дата создания и дата последнего использования.

Список токенов

Нажмите «Создать новый токен» — откроется диалог, в котором нужно задать название токена и выбрать разрешения (скоупы).

Создание API токена

Токен показывается только один раз сразу после создания. Скопируйте и сохраните его в надёжном месте — после закрытия диалога восстановить его будет невозможно.

Токен бота

Бот виден в пространстве как отдельный участник со своим именем и аватаром. После создания бота его access_token доступен во вкладке API в настройках бота. Подробнее о создании и настройке бота — в разделе Боты.

Методы, требующие токен бота

Некоторые возможности API доступны исключительно с токеном бота:

Также при отправке сообщений (POSTНовое сообщение, POSTНовый тред) поля icon_url и name для кастомного аватара и имени отправителя работают только с токеном бота.

Заголовок авторизации

Все запросы к API (кроме POSTЗагрузки файла) должны содержать заголовок:

Заголовок авторизации
Authorization: Bearer <ACCESS_TOKEN>

Скоупы

Скоупы определяют, к каким методам API имеет доступ токен. Разные типы токенов получают скоупы по-разному:

  • Персональный токен — вы выбираете скоупы вручную при создании и можете изменить их позже в настройках токена. Токен получит только запрошенные разрешения.
  • Токен бота — скоупы задаются автоматически и не настраиваются. Все боты (входящие вебхуки, исходящие вебхуки, unfurl-боты) получают одинаковый фиксированный набор разрешений.

При добавлении новых скоупов в API токены ботов обновляются автоматически, а в персональных токенах новые скоупы можно включить в настройках токена.

Проверить скоупы текущего токена можно методом GETИнформация о токене.

Доступные скоупы

При создании персонального токена в интерфейсе Пачки отображаются только те скоупы, которые доступны вашей роли. Токены ботов получают скоупы автоматически.

chats:read
Просмотр чатов и списка чатов
chats:create
Создание новых чатов
chats:update
Изменение настроек чата
chats:archive
Архивация и разархивация чатов
chats:leave
Выход из чатов
chat_members:read
Просмотр участников чата
chat_members:write
Добавление, изменение и удаление участников чата
chat_exports:read
Скачивание экспортов чата
chat_exports:write
Создание экспортов чата
messages:read
Просмотр сообщений в чатах
messages:create
Отправка сообщений
messages:update
Редактирование сообщений
messages:delete
Удаление сообщений
reactions:read
Просмотр реакций на сообщения
reactions:write
Добавление и удаление реакций
pins:write
Закрепление и открепление сообщений
threads:read
Просмотр тредов (комментариев)
threads:create
Создание тредов (комментариев)
link_previews:write
Unfurl (разворачивание ссылок)
users:read
Просмотр информации о сотрудниках и списка сотрудников
users:create
Создание новых сотрудников
users:update
Редактирование данных сотрудника
users:delete
Удаление сотрудников
group_tags:read
Просмотр тегов
group_tags:write
Создание, редактирование и удаление тегов
bots:write
Изменение настроек бота
profile:read
Просмотр информации о своем профиле
profile_status:read
Просмотр статуса профиля
profile_status:write
Изменение и удаление статуса профиля
profile_avatar:write
Изменение и удаление аватара профиля
user_status:read
Просмотр статуса сотрудника
user_status:write
Изменение и удаление статуса сотрудника
user_avatar:write
Изменение и удаление аватара сотрудника
custom_properties:read
Просмотр дополнительных полей
audit_events:read
Просмотр журнала аудита
tasks:read
Просмотр задач
tasks:create
Создание задач
tasks:update
Изменение задачи
tasks:delete
Удаление задачи
files:read
Скачивание файлов
files:write
Загрузка файлов
uploads:write
Получение данных для загрузки файлов
views:write
Открытие форм (представлений)
webhooks:read
Просмотр вебхуков
webhooks:write
Создание и управление вебхуками
webhooks:events:read
Просмотр лога вебхуков
webhooks:events:delete
Удаление записи в логе вебхука
search:users
Поиск сотрудников
search:chats
Поиск чатов
search:messages
Поиск сообщений

Ошибки авторизации

  • 401 Unauthorized — токен отсутствует, невалидный или отозван
  • 403 Forbidden — токен не имеет необходимого скоупа для данного метода (поле error содержит insufficient_scope)
OAuthErrorobject

Подробнее о кодах ошибок и структуре ответов — в руководстве Ошибки и лимиты.