Dokumente/Administratorhandbuch/API-Schlüssel

API-Schlüssel

API-Schlüssel sind, wie alles außerhalb der SecureCodingHub-Administrator-UI mit der öffentlichen REST- und Webhook-Oberfläche kommuniziert. Die Administrator-Seite stellt Schlüssel aus, listet aktive und widerrufene Schlüssel auf und widerruft einzelne Schlüssel. Vollständige Referenz dessen, was jeder Schlüssel tatsächlich tun kann, befindet sich in API → Authentifizierung und Scopes.

Wo sich das befindet

Seitenleiste → API-Schlüssel unter dem Abschnitt Integrationen, unter /organization/api-keys.

Einen Schlüssel erstellen

Klicken Sie auf + Neuen Schlüssel erstellen. Der Dialog fragt nach:

  • Name — kurzer Bezeichner, der in der Schlüsselliste und in Audit-Protokoll-Einträgen erscheint. Verwenden Sie etwas Beschreibendes ("CI/CD GitHub Actions", "BI Looker sync", "Jira ticketing").
  • Scopes — feingranulare Berechtigungen, gruppiert nach Ressource. Die 16 Scopes sind in API → Authentifizierung und Scopes dokumentiert. Wählen Sie nur das, was die Integration benötigt.
  • Ablauf (optional) — Datum, nach dem der Schlüssel nicht mehr funktioniert. Nützlich für Proofs of Concept und Anbieter-Evaluierungen. Lassen Sie es leer für Schlüssel, die gültig bleiben sollen, bis sie manuell widerrufen werden.

Bei der Übermittlung zeigt der Dialog das vollständige Token (scs_live_…) einmal an. Kopieren Sie es sofort in Ihren Secrets-Manager. Nachdem Sie den Dialog schließen, bleiben nur das Präfix und die letzten vier Zeichen sichtbar — der Server speichert nur den SHA-256-Hash, sodass selbst der SecureCodingHub-Support das vollständige Token danach nicht abrufen kann.

Schlüssel auflisten und prüfen

Die Listenansicht zeigt jeden aktiven und widerrufenen Schlüssel für Ihre Organisation. Spalten:

SpalteBeschreibung
NameDer Bezeichner, den Sie dem Schlüssel bei der Erstellung gegeben haben.
Präfix … Letzte4Die ersten 13 und letzten 4 Zeichen des Tokens. Ausreichend, um einen Schlüssel zu erkennen, ohne ihn wiederherzustellen.
ScopesDie feingranularen Berechtigungen auf dem Schlüssel. Bewegen Sie den Mauszeiger darüber für die vollständige Liste, wenn es viele sind.
Erstellt von / amDer Administrator, der den Schlüssel ausgestellt hat, und wann.
Zuletzt verwendetZeitstempel des letzten erfolgreichen API-Aufrufs gegen diesen Schlüssel. Leer für Schlüssel, die noch nie verwendet wurden.
StatusAktiv, Abgelaufen oder Widerrufen.

Einen Schlüssel widerrufen

Klicken Sie auf Widerrufen in einer Schlüsselzeile. Der Widerruf ist sofortig — laufende Anfragen mit dem Schlüssel beginnen innerhalb von Sekunden, 401 unauthorized zu erhalten. Es gibt keinen "Pause"-Zustand und keine Möglichkeit, einen Widerruf rückgängig zu machen; der Widerruf ist permanent. Das Audit-Protokoll erfasst die Aktion als apikey.revoked mit der Akteursidentität.

Wenn ein Schlüssel geleckt ist, widerrufen Sie ihn. Wenn Sie einen Schlüssel ohne Ausfallzeit rotieren müssen, erstellen Sie zuerst den Ersatz, stellen Sie das neue Token bereit und widerrufen Sie den alten erst, nachdem der neue mindestens einen erfolgreichen Zuletzt-verwendet-Zeitstempel protokolliert hat.

Rate Limits pro Schlüssel

Jeder Schlüssel wird durch zwei gleitende Fenster geregelt: 60 Anfragen pro Minute und 1.000 Anfragen pro Stunde. Anfragen über eines der Fenster hinaus geben 429 rate_limited mit einem Retry-After-Header zurück. Die Limits sind pro Schlüssel, sodass die Ausgabe eines Schlüssels pro Integration auch eine Möglichkeit ist, zu verhindern, dass eine laute Automatisierung eine andere aushungert. Vollständige Wiederholungsanleitung unter API → Rate Limits.