Zum Hauptinhalt springen

API-Token

API-Token ermöglichen Ihnen einen technischen Zugriff auf intraOnline (z. B. für Integrationen oder Automationen), ohne dass ein persönliches Passwort verwendet werden muss.

Aktueller Umfang

  • Token werden pro Nutzer:in verwaltet.
  • Token können erstellt, angezeigt und widerrufen werden.
  • Der Zugriff entspricht den Berechtigungen des jeweiligen Nutzerkontos.

Verhalten im Detail

  • Ein Token ist ein geheimes Zugriffsmittel. Sie sollten ihn sicher speichern und nicht teilen.
  • Beim Widerruf ist der Token sofort ungültig.

Hinweis

API-Token sind für technische Anbindungen gedacht. Für die normale Nutzung im Web oder in der App ist kein API-Token erforderlich.

Nutzung von API-Token

  • API-Token werden bei jeder Anfrage im Header Authorization: Bearer <Token> übermittelt.
  • Der Token ist dauerhaft gültig, solange er nicht widerrufen wird. Behandeln Sie ihn daher wie ein Passwort.
  • Nach einem Widerruf wird der Token sofort ungültig; erneute Anfragen müssen dann über einen neuen Token laufen.

Sicherheit und Betrieb

  • Speichern Sie API-Token verschlüsselt (z. B. in einem Secrets-Manager oder einer verschlüsselten Konfiguration) und geben Sie sie nur an Systeme weiter, die sie tatsächlich benötigen.
  • Verwenden Sie für unterschiedliche Integrationen nach Möglichkeit unterschiedliche Token, damit bei einem Missbrauch nur ein einzelner Zugang betroffen ist.
  • Token dürfen nicht in öffentlichen Repositories, Logs oder im Frontend-Code liegen.
  • Prüfen Sie regelmäßig, ob noch alle aktiven Token benötigt werden, und widerrufen Sie nicht mehr benötigte Zugänge sofort.

Tipps zur Verwaltung

  • Dokumentieren Sie, welcher Token für welchen Zweck genutzt wird, damit beim Widerruf klar ist, welche Integrationen betroffen sind.
  • Planen Sie Token-Rotation als Teil Ihrer Sicherheitsstrategie: Ersetzen Sie Token in regelmäßigen Abständen und aktualisieren Sie betroffene Systeme rechtzeitig.
  • Nutzen Sie in der Anwendung Fehlercodes und Logging, um Token-Fehler (z. B. ungültig oder widerrufen) früh zu entdecken und zu handeln.

Kurzanleitung zur Verwendung

  1. Erstellen Sie den API-Token in Ihren persönlichen Einstellungen unter "API-Token".
  2. Kopieren Sie den Token sofort und speichern Sie ihn sicher; der vollständige Wert wird nur einmal angezeigt.
  3. Übergeben Sie den Token bei jeder Anfrage über den Header Authorization: Bearer <Token>.
  4. Prüfen Sie die Antwort auf Statuscodes wie 401 oder 403, um Token-Fehler früh zu erkennen.
  5. Widerrufen Sie den Token, sobald er nicht mehr benötigt wird, und erstellen Sie bei Bedarf einen neuen.

Wofür eignen sich API-Token?

API-Token sind ideal für:

  • Integrationen: Anbindung von Drittanbietersystemen an intraOnline.
  • Automationen: Automatisierte Prozesse, die auf intraOnline-Daten zugreifen oder Aktionen ausführen.
  • Skripte: Eigene Skripte oder Anwendungen, die intraOnline-Funktionen nutzen.

Wofür eignen sich API-Token nicht?

API-Token sind nicht geeignet für:

  • Manuelle Nutzung: Für die normale Nutzung von intraOnline im Web oder in der App.
  • Teilen von Zugängen: API-Token sollten nicht geteilt werden; jeder Nutzer sollte seinen eigenen Token verwenden.