API-Tokens

Erstellen, scopeen, rotieren und widerrufen Sie API-Tokens für programmgesteuerten Zugriff.

API-Tokens

Tokens authentifizieren API-Aufrufe und sollten mit derselben Sorgfalt wie Passwörter behandelt werden.

Tokens erstellen

• Owner können Tokens im Dashboard oder per API erzeugen.
• Tokens werden gehasht gespeichert; der Klartext wird nur einmal bei der Erstellung angezeigt.

Rotation und Widerruf

• Rotieren Sie Tokens regelmäßig und immer dann, wenn jemand das Team verlässt.
• Ein Widerruf schreibt in das Audit Log, damit nachvollziehbar bleibt, wer die Änderung ausgelöst hat.

await writeAuditLog({
  orgId: ctx.org.id,
  actorUserId: ctx.user.id,
  targetType: 'api_token',
  targetId: token.id,
  action: 'api_token.revoked',
  requestId,
});

Nutzungstipps

• Verwenden Sie unterschiedliche Tokens pro Umgebung.
• Legen Sie Tokens nicht in clientseitigen Code; rufen Sie die API nur aus vertrauenswürdigen Backends auf.
• Kombinieren Sie Tokens mit Webhooks, um Downstream-Abläufe zu automatisieren.