Personal Access Token
अंतिम अपडेट: 3 जुलाई 2026
PersonalAccessToken एक दीर्घकालिक टोकन है जिसका उपयोग कोई Weegloo प्लेटफ़ॉर्म खाता (Weegloo User) सर्वर, CI या स्क्रिप्ट से अपने स्वयं के अधिकार के साथ CMA, Upload और CDA को कॉल करने के लिए करता है। ब्राउज़र लॉगिन प्रवाह हर बार जो अल्पकालिक टोकन जारी करता है उसके विपरीत, यह एक बार जारी होने के बाद हटाए जाने तक वैध बना रहता है।
PersonalAccessToken किसी Space से नहीं, बल्कि उपयोगकर्ता खाते से जुड़ा होता है। इसीलिए इसका एंडपॉइंट /spaces/{spaceId} के अंतर्गत नहीं, बल्कि शीर्ष-स्तरीय /personal-access-tokens पथ पर होता है, और पथ चर में spaceId नहीं होता। इस टोकन का उपयोग करने वाला कॉलर, उस उपयोगकर्ता ने जिन सभी Space में सदस्यता ली है उनमें, प्रत्येक Space के SpaceRole द्वारा निर्धारित अधिकार जितना ही कार्य करता है।
संसाधन संरचना
नीचे PersonalAccessToken बनाने पर मिलने वाली प्रतिक्रिया दी गई है। sys(सिस्टम गुण) में टोकन मान और दायरा होता है, और मुख्य भाग में name होता है।
{
"sys": {
"id": "5KmQ2pVnRb8sTfWcXd3LhJ9gAe",
"type": "PersonalAccessToken",
"createdBy": { "sys": { "id": "2bN7kRpQ9mWx4Lt6Vy0Cf3Hs8", "type": "Refer", "targetType": "User" } },
"createdAt": "2026-06-18T11:41:47.409Z",
"updatedBy": { "sys": { "id": "2bN7kRpQ9mWx4Lt6Vy0Cf3Hs8", "type": "Refer", "targetType": "User" } },
"updatedAt": "2026-06-18T11:41:47.409Z",
"accessToken": "PSNAT5SCq8Lm2vK9pXfR1Zt0Nc4Wd6Hg5Ua2Ee9Ck3PoYx8Bj6Hg5Ua2Ee9Ck3Po…",
"scopes": ["PERSONAL"]
},
"name": "उत्पाद सिंक सर्वर"
}मुख्य कुंजियाँ:
sys.id: PersonalAccessToken का अद्वितीय पहचानकर्ता। यह एकल पुनर्प्राप्ति और हटाने के पथ के{personalAccessTokenId}में जाता है।sys.accessToken: API कॉल में उपयोग होने वाला गुप्त टोकन मान। यह न केवल निर्माण प्रतिक्रिया में, बल्कि बाद की पुनर्प्राप्ति प्रतिक्रियाओं में भी वैसा ही दिखाई देता है, इसलिए इसके उजागर होने को लेकर सावधानी बरतनी चाहिए (नीचे सुरक्षा अनुभाग देखें)।sys.scopes: टोकन के अधिकार का दायरा। PersonalAccessToken जारी होते समय हमेशा["PERSONAL"]होता है।name: निर्माण के समय निर्दिष्ट किया गया टोकन नाम (उदाहरण:उत्पाद सिंक सर्वर)।
ऊपर दिए उदाहरण का accessToken एक गुप्त मान होने के कारण उदाहरण स्ट्रिंग से बदल दिया गया है। वास्तव में यह PSNAT से शुरू होने वाली एक लंबी और अपारदर्शी स्ट्रिंग होती है, और जारी करने के बाद दोबारा पुनर्प्राप्त करने पर भी वही मान मिलता है।
सिस्टम गुण (sys)
प्रत्येक PersonalAccessToken सामान्य सिस्टम गुणों और टोकन-विशिष्ट गुणों को sys ऑब्जेक्ट में रखता है। createdBy, updatedBy Refer आकार ({ "sys": { "id", "type": "Refer", "targetType" } }) में आते हैं। इस संसाधन में space नहीं होता। ऐसा इसलिए है क्योंकि यह Space से नहीं, बल्कि उपयोगकर्ता खाते से जुड़ा हुआ उपयोगकर्ता-स्तरीय टोकन है।
| गुण | प्रकार | विवरण |
|---|---|---|
id | string | संसाधन का अद्वितीय पहचानकर्ता। |
type | string | संसाधन का प्रकार। PersonalAccessToken के लिए हमेशा "PersonalAccessToken"। |
createdBy | Refer<User> | बनाने वाला उपयोगकर्ता। |
createdAt | string (date-time) | निर्माण का समय। |
updatedBy | Refer<User> | अंतिम बार संशोधित करने वाला उपयोगकर्ता। |
updatedAt | string (date-time) | अंतिम संशोधन का समय। |
accessToken | string | API कॉल में उपयोग होने वाला गुप्त टोकन मान। निर्माण और पुनर्प्राप्ति दोनों प्रतिक्रियाओं में वैसा ही दिखाई देता है, इसलिए इसे बाहर उजागर न होने देने की सावधानी के साथ संभालना चाहिए। |
scopes | string array | टोकन के अधिकार का दायरा। PersonalAccessToken के लिए हमेशा ["PERSONAL"]। |
मुख्य भाग के गुण:
| गुण | प्रकार | विवरण |
|---|---|---|
name | string (1~64) | टोकन का नाम। निर्माण के समय निर्दिष्ट किया जाता है। |
सुरक्षा: कहीं भी उजागर न करें
PersonalAccessToken उस उपयोगकर्ता की पहचान को ज्यों का त्यों धारण करता है। इस टोकन से कॉल करने पर उपयोगकर्ता की सभी Space सदस्यताओं के SpaceRole अधिकारों के साथ CMA, Upload और CDA को कॉल किया जा सकता है। अधिकार का दायरा व्यापक और जीवनकाल लंबा होने के कारण, एक बार लीक होने पर उस उपयोगकर्ता के समस्त अधिकार उजागर हो जाते हैं।
- इसे कहीं भी उजागर न होने देते हुए गुप्त रूप में संभालें। एक बार लीक होते ही उस उपयोगकर्ता के समस्त अधिकार बाहर चले जाते हैं। PersonalAccessToken सर्वर, CI जैसे विश्वसनीय परिवेशों के लिए ही है, और इसे कोड, लॉग, भंडारण या त्रुटि संदेश कहीं भी सादे पाठ (plaintext) में न छोड़ें।
- इसे ब्राउज़र या क्लाइंट कोड में न डालें। ब्राउज़र तक भेजा गया मान उपयोगकर्ता ज्यों का त्यों देख सकता है, इसलिए वह वस्तुतः सार्वजनिक हो जाता है। ब्राउज़र में चलने वाली प्रबंधन स्क्रीन कंटेंट स्टूडियो लॉगिन प्रवाह के ज़रिए प्राप्त अल्पकालिक टोकन (स्क्रीन सत्र तक सीमित) का उपयोग करती हैं।
- आगंतुकों के लिए सार्वजनिक केवल-पठन वितरण के लिए न्यूनतम-अधिकार (least-privilege) SpaceRole से जुड़े DeliveryAccessToken का उपयोग किया जाता है। सार्वजनिक क्लाइंट में PersonalAccessToken का उपयोग नहीं किया जाता।
accessTokenन केवल निर्माण के समय, बल्कि पुनर्प्राप्ति प्रतिक्रिया में भी वैसा ही दिखाई देता है। पुनर्प्राप्ति परिणाम को लॉग, स्क्रीन या बाहरी भंडारण में ज्यों का त्यों न छोड़ने की सावधानी बरतें।- कोई संशोधन API नहीं है (न PUT, न PATCH)। टोकन बदलने के लिए मौजूदा टोकन को हटाकर नया जारी किया जाता है। उजागर होने का संदेह हो तो तुरंत हटाकर उसे निष्प्रभावी करें और नए टोकन से बदल दें।
(स्रोत: weegloo-user-login, weegloo-delivery-access-token स्किल, .claude/rules/weegloo-api-endpoints.md।)
API
नीचे दिए सभी एंडपॉइंट का आधार URL https://cma.weegloo.com/v1 है, और Authorization हेडर में CMA को प्रमाणित करने वाला Bearer टोकन आवश्यक है। PersonalAccessToken एक उपयोगकर्ता-स्तरीय संसाधन है, इसलिए पथ में spaceId नहीं होता। साथ ही कोई संशोधन API न होने के कारण केवल चार ही हैं: सूची, निर्माण, एकल पुनर्प्राप्ति और हटाना।
संबंधित दस्तावेज़
- Delivery Access Token: आगंतुकों के लिए सार्वजनिक केवल-पठन वितरण टोकन (ब्राउज़र के लिए)।
- SpaceRole: इस उपयोगकर्ता के पास प्रत्येक Space में मौजूद अधिकार का दायरा।
