What permission scopes should I select for my token?

Always select the minimum scopes your integration actually needs — this limits the damage if the token is ever compromised. If your external site just needs to display published posts, use 'Read published posts' only. If you're running a migration script that needs to create posts, use 'Write posts'. If you're building a members-only feature that needs to verify subscriptions, add 'Read members'. The available scopes are: Read published posts, Read all posts (including drafts), Write posts, R...

How do I use the token in an API request?

Include the token in the HTTP Authorization header as a Bearer token. In JavaScript or TypeScript that looks like: fetch('https://your-pb-url/api/collections/posts/records', { headers: { 'Authorization': 'Bearer your-token-here' } }). In curl it's: curl -H 'Authorization: Bearer your-token-here' https://your-pb-url/api/collections/posts/records. For most REST clients (Postman, Insomnia, HTTPie), there's a dedicated Authorization tab where you select Bearer Token and paste your value.

What happens if I lose the token after closing the modal?

VeloCMS stores a one-way hash of the token, not the token itself — it's designed this way so even a database breach doesn't expose your tokens. This means if you close the modal without copying the token, it's gone and can't be recovered. The only option is to delete the old token and create a new one. This takes about 30 seconds and doesn't affect other active tokens. It's a good habit to immediately paste a newly generated token into your application's environment variables or secrets manag...

How do I revoke or rotate a token?

Open Admin → Settings → Developer → API Tokens. Each token appears as a row with its name, creation date, last-used date, and a Revoke button. Click Revoke to instantly invalidate that token — any API requests using it will start returning 401 Unauthorized immediately. To rotate a token (replace with a new one while minimizing downtime), create the new token first, update your integration to use the new token, verify the integration works, then revoke the old one. This zero-downtime rotation ...

كيف أُنشئ توكن API للوصول بلا رأس أو للمطوّرين؟

لإنشاء توكن API في VeloCMS، انتقل إلى Admin → Settings → Developer → API Tokens، ثم انقر New Token، واختر نطاقات الصلاحيات التي يحتاجها تكاملك، ثم انقر Generate. انسخ التوكن فورًا — لن يُعرض إلا مرّةً واحدة.

ما نطاقات الصلاحيات التي ينبغي اختيارها لتوكني؟

اختر دائمًا أدنى نطاقات الصلاحيات التي يحتاجها تكاملك فعلًا — فهذا يُحدّ من الضرر في حال تعرَّض التوكن للاختراق. إن كان موقعك الخارجي يحتاج فقط إلى عرض المنشورات المنشورة، فاكتفِ بنطاق «قراءة المنشورات المنشورة». وإن كنت تُشغِّل سكريبت هجرة يحتاج إلى إنشاء منشورات، استخدم «كتابة المنشورات». وإن كنت تبني ميزة مخصصة للأعضاء تحتاج إلى التحقق من الاشتراكات، أضف «قراءة الأعضاء». النطاقات المتاحة هي: قراءة المنشورات المنشورة، وقراءة جميع المنشورات (بما فيها المسوّدات)، وكتابة المنشورات، وقراءة الوسائط، وكتابة الوسائط، وقراءة الأعضاء، وكتابة الأعضاء، وقراءة إعدادات الموقع، وكتابة إعدادات الموقع. ينبغي إنشاء توكنات تملك صلاحية كتابة إعدادات الموقع بحذر شديد، إذ يتيح هذا النطاق تغيير النطاق والسمة وإعدادات الفوترة.

كيف أستخدم التوكن في طلب API؟

أدرج التوكن في ترويسة HTTP Authorization بصيغة Bearer token. في JavaScript أو TypeScript يبدو الأمر كالآتي: fetch('https://your-pb-url/api/collections/posts/records', { headers: { 'Authorization': 'Bearer your-token-here' } }). أما في curl فهو: curl -H 'Authorization: Bearer your-token-here' https://your-pb-url/api/collections/posts/records. في معظم عملاء REST (Postman وInsomnia وHTTPie)، تجد تبويب Authorization مخصصًا تختار منه Bearer Token وتلصق قيمتك فيه.

ماذا يحدث إن أغلقت النافذة دون نسخ التوكن؟

يخزّن VeloCMS بصمة hash أحادية الاتجاه للتوكن لا التوكن نفسه — وذلك تصميمٌ مقصود حتى لا تكشف قاعدة البيانات عن توكناتك حتى في حال اختراقها. وهذا يعني أن إغلاق النافذة دون نسخ التوكن يُعادل فقدانه نهائيًا وعدم إمكانية استعادته. الحل الوحيد هو حذف التوكن القديم وإنشاء توكن جديد، وهو ما يستغرق نحو 30 ثانية ولا يؤثر على التوكنات الأخرى النشطة. من الممارسات الجيدة أن تلصق التوكن المُنشأ حديثًا فورًا في متغيرات بيئة تطبيقك أو مدير الأسرار قبل إغلاق نافذة VeloCMS.

كيف أُلغي توكنًا أو أستبدله بآخر؟

افتح Admin → Settings → Developer → API Tokens. يظهر كل توكن كسطر يحتوي على اسمه وتاريخ إنشائه وتاريخ آخر استخدام وزرًا للإلغاء. انقر Revoke لإبطال التوكن فورًا — ستبدأ طلبات API التي تستخدمه في إرجاع 401 Unauthorized على الفور. لاستبدال توكن (بتوكن جديد مع تقليص فترة التوقف)، أنشئ التوكن الجديد أوّلًا، ثم حدّث تكاملك لاستخدامه، وتحقّق من عمله، ثم أبطل القديم. نمط الاستبدال بدون توقف هذا يتجنّب الفجوة القصيرة التي تحدث لو أبطلت التوكن القديم قبل وضع الجديد في مكانه.

اصطلاح تسمية مفيد لتوكنات API: أدرج اسم التكامل والبيئة — مثلًا «تكامل Zapier — الإنتاج» أو «الواجهة الأمامية المخصصة — التجربة». حين تتعدد توكناتك يُصبح تحديد أيّها يجب إلغاؤه عند وقوع خطأ أمرًا أيسر بكثير.