Skip to main content

Аутентификация

Каждый бот идентифицируется секретным токеном, который выдаётся при создании. Токен передаётся в URL запроса:

https://api.telefon.chat/bot<TOKEN>/<METHOD>

Например:

https://api.telefon.chat/botkOyGMoA8cdbI9-Mt_fLScM7cXJBPOOob/getMe

Получение токена

Токен выдаётся при создании бота через @botmaker (см. Быстрый старт). Хранится в зашифрованном виде на стороне сервера.

Сброс токена

Если токен скомпрометирован — выпустите новый:

  1. Откройте @botmaker«Мои боты» → выберите бота.
  2. Нажмите «🔑 Токен»«🔄 Выпустить новый токен».
  3. Старый перестанет работать сразу.

Также можно сделать через API:

curl -X POST https://app.telefon.chat/api/me/bots/<BOT_ID>/regenerate_token \
  -H "Authorization: Bearer <ВАШ_AUTH_TOKEN>"

Безопасность токена

Никогда не публикуйте токен:

  • ❌ В публичных репозиториях GitHub.
  • ❌ В чатах, скриншотах, логах.
  • ❌ В клиентском JavaScript-коде.

Правильно:

  • Хранить в переменных окружения (.env, не в Git).
  • Передавать через CI/CD secrets (GitHub Actions Secrets, Vault, AWS SSM).
  • Использовать только на сервере (не в браузере и не в мобильном приложении).

Если токен случайно попал в публичный репозиторий — немедленно сбросьте его. Мы автоматически детектируем массовое сканирование GitHub и блокируем заведомо утёкшие токены.

Проверка токена

Простейший способ проверить, что токен работает:

curl https://api.telefon.chat/bot<TOKEN>/getMe

Ответ при успехе:

{
  "ok": true,
  "result": {
    "id": 123456789,
    "is_bot": true,
    "first_name": "Мой бот",
    "username": "my_bot"
  }
}

Ответ при невалидном токене (HTTP 401):

{
  "ok": false,
  "error_code": 401,
  "description": "Unauthorized"
}

Передача владельца бота

Бота можно передать другому пользователю — например, при смене ответственного в команде или продаже.

В настройках бота → секция «Передать бота» → введите @username нового владельца → подтвердите.

После передачи вы сразу теряете доступ. Получатель видит бота в своём списке.

Ограничение доступа к боту

В отличие от других платформ, у нас можно ограничить, кто может писать боту в DM:

  • Все — любой пользователь Telefon (по умолчанию).
  • Выбранные — только из списка @username.
  • Только владелец — для тестирования.

Настраивается в @botmaker → бот → «Изменить»«Кто может писать боту».