Admin
API-Schlüssel und Webhooks
Schnittstellen sicher vorbereiten, ohne Secrets in der Oberfläche offenzulegen.
API-Schlüssel und Webhook-Geheimnisse ermöglichen maschinellen Zugriff und müssen wie Zugangsdaten behandelt werden. Sie dürfen nie in Client-Code, Screenshots, Tickets oder öffentliche Repositories gelangen.
Schlüssel erstellen
Erstelle einen Schlüssel nur für den benötigten Arbeitsbereich und Zweck. Vergib eine erkennbare Bezeichnung, begrenze Berechtigungen und speichere den angezeigten Wert sofort in einem Secret Manager.
Verwendung absichern
Übertrage Anfragen ausschließlich über TLS, prüfe Authentisierung und Rate Limits und protokolliere keine vollständigen Schlüssel. Webhook-Empfänger müssen Signaturen und Zeitbezug validieren.
Rotation und Widerruf
Rotiere Schlüssel regelmäßig und sofort bei Verdacht auf Offenlegung. Widerrufe alte Werte erst, nachdem abhängige Systeme kontrolliert umgestellt wurden, und prüfe danach Fehlerraten und Zustellungen.
