Um über die API auf Daten in Ihrem Foxtag-Account zugreifen zu könnem, benötigen Sie einen API-Key, den Sie selbst erzeugen und mit detaillierten Zugriffsrechten ausstatten können.
Neuen API-Key erzeugen
Erzeugen Sie nur dann einen API-Key, wenn Sie die API auch wirklich nutzen. Schränken Sie die Rechte möglichst weit ein und geben Sie Ihren Key nur an Personen, die den Key für die Anbindung zwingend benötigen.
Sie finden die Liste der API-Keys im Bereich Administration unter dem Menüpunkt API.
1. Rechte vergeben
Nach dem Klick auf Neuen API-Key anlegen, erscheint folgendes Formular:
- Vergeben Sie einen aussagekräftigen Namen: Wo oder wofür wird der Key benutzt?
- Vergeben Sie nur die Zugriffsrechte, die für Ihre Anwendung notwendig sind
Für die Verwendung der IRAS-Wartungsbox finden Sie ein vorbereitetes Rechte-Set, dass Sie mit einer Checkbox aktivieren können. Dieses Recht ist aus Sicherheitsgründen nicht mit anderen Rechten kombinierbar.
2. API-Key kopieren
Nach der Vergabe der Rechte wird Ihnen der erzeugte API-Key einmalig angezeigt:
Kopieren Sie nun den erzeugten API-Key und testen Sie den Zugriff aus Ihrer Anwendung.
Wir speichern API-Keys nicht im Klartext, sondern als Hash. Das bedeutet, dass niemand bei Foxtag Ihre API-Keys kennt und diese auch nicht wieder angezeigt werden können. Wir speichern lediglich die ersten 6 Zeichen (Prefix), damit Sie Ihre Keys sicher unterscheiden können.
API-Key löschen
Klicken Sie auf den Button löschen und bestätigen Sie das Löschen des API-Keys. Anwendungen, die den betroffenen API-Key verwenden, verlieren umgehend den Zugriff auf Foxtag.
Sicherer Umgang mit API-Keys
API-Keys sind Passwörter, die Zugriff auf Ihre Daten gewähren. Bitte beachten Sie diese generellen Hinweise zum Umgang mit API-Keys:
- Verwenden Sie einen Key nie für mehrere Anwendungen: Erzeugen Sie für unterschiedliche Anwendungen immer eigene API-Keys und vergeben Sie einen aussagekräftigen Namen
- Schränken Sie die Zugriffsrechte eines API-Keys so weit wie möglich ein, Sie schützen sich nicht nur vor Missbrauch, sondern minimieren auch Fehler bei der Nutzung des Keys.
- Stellen Sie sicher, dass HTTP-Anfragen mit einem API-Key immer per SSL (https) verschlüsselt sind, damit Dritte keinen Zugriff auf den Key haben
- Löschen Sie API-Keys, die nicht mehr gebraucht werden, sofort aus dem System
- Speichern Sie die API-Keys an einem sicheren Ort, checken Sie keine API-Keys im Klartext in eine Versionsverwaltung ein (Github etc.)