Skip to content

API-Tokens

API-Tokens sind persönliche Zugriffstokens für die smoxy-API. Sie authentifizieren Anfragen und ermöglichen die Automatisierung von Aufgaben - etwa das Konfigurieren von Zonen, das Verwalten von Einstellungen oder das Abrufen von Daten - ohne Anmeldung über das Dashboard.

Ein Token ist wie ein Passwort zu behandeln: Wer es besitzt, kann im eigenen Namen handeln. Tokens werden im Account-Bereich unter API-Tokens verwaltet.

WARNING

Tokens geheim halten. Ein Token gewährt im Rahmen seines Geltungsbereichs denselben Zugriff wie das Konto selbst. Tokens dürfen niemals in die Versionsverwaltung eingecheckt, in geteilte Dokumente eingefügt oder in clientseitigem Code offengelegt werden.


Token erstellen

Im Bereich Account → API-Tokens lässt sich ein neues Token erstellen. Anzugeben sind:

FeldBeschreibung
NameEine Bezeichnung zur späteren Identifikation, z. B. CI/CD-Pipeline. Sie hat keinen Einfluss auf den Zugriff und dient nur der Unterscheidung.
AblaufEin optionales Ablaufdatum. Bleibt das Feld leer, läuft das Token nie ab.
OrganisationszugriffEntweder Alle Organisationen (jede Organisation mit Mitgliedschaft) oder Bestimmte Organisationen (nur die hinzugefügten).
Das Formular „API-Token erstellen“: Name, optionaler Ablauf und Organisationszugriff.Das Formular „API-Token erstellen“: Name, optionaler Ablauf und Organisationszugriff.
Das Formular „API-Token erstellen“: Name, optionaler Ablauf und Organisationszugriff.

Mit der Auswahl Bestimmte Organisationen erscheint ein Suchfeld zum Hinzufügen der Organisationen, auf die das Token zugreifen darf.

Beschränkung eines Tokens auf bestimmte Organisationen: jede einzeln suchen und hinzufügen.Beschränkung eines Tokens auf bestimmte Organisationen: jede einzeln suchen und hinzufügen.
Beschränkung eines Tokens auf bestimmte Organisationen: jede einzeln suchen und hinzufügen.

WARNING

Token sofort kopieren. Der Token-Wert wird nur einmal angezeigt, direkt nach der Erstellung. Sobald der Dialog geschlossen ist, lässt er sich nicht erneut abrufen - bei Verlust muss ein neues Token erstellt werden.


Tokens verwalten

Die Liste API-Tokens zeigt alle erstellten Tokens samt:

  • Erstellt - wann das Token generiert wurde.
  • Zuletzt verwendet - wann das Token zuletzt eine Anfrage authentifiziert hat, oder Nie verwendet, falls es noch nicht genutzt wurde.
  • Läuft ab - das Ablaufdatum, oder Läuft nie ab, falls keines festgelegt wurde.

Token widerrufen

Ein Token kann jederzeit widerrufen werden. Ein widerrufenes Token funktioniert sofort nicht mehr, und jede Integration, die es verwendet, wird bei der nächsten Anfrage abgewiesen. Ein Token sollte widerrufen werden, sobald es nicht mehr benötigt wird oder ein Verdacht auf Offenlegung besteht.


Legacy-API-Tokens

Manche Konten verfügen möglicherweise noch über Legacy-API-Tokens - ein älterer Token-Typ, der veraltet und weniger sicher ist als persönliche Zugriffstokens.

Vorhandene Legacy-Tokens sollten zu persönlichen Zugriffstokens rotiert werden:

  1. Ein neues persönliches Zugriffstoken mit dem passenden Organisationszugriff erstellen.
  2. Die Integrationen auf das neue Token umstellen.
  3. Das Legacy-Token löschen, sobald nichts mehr davon abhängt.

WARNING

Das Löschen eines Legacy-Tokens wirkt sofort. Jede Integration, die dieses Token noch verwendet, funktioniert unmittelbar nach dem Löschen nicht mehr. Vorab ist sicherzustellen, dass alle Integrationen umgestellt wurden.


Token verwenden

Die öffentliche smoxy-API ist unter https://api.smoxy.eu erreichbar. Jede Anfrage wird authentifiziert, indem das Token im HTTP-Header X-API-TOKEN mitgesendet wird:

bash
curl -H "X-API-TOKEN: <token>" https://api.smoxy.eu/api/zones

Die vollständige Liste der Endpunkte, Anfrageparameter und Antwortformate findet sich in der API-Referenz.


Best Practices

  • Tokens sicher speichern. Tokens gehören in einen Secrets-Manager oder in Umgebungsvariablen, niemals in die Versionsverwaltung oder in Klartext.
  • Auf bestimmte Organisationen beschränken. Benötigt ein Token nur Zugriff auf eine Organisation, sollte es auf diese beschränkt werden, statt Alle Organisationen zu gewähren.
  • Ablauf festlegen. Ablaufende Tokens begrenzen, wie lange ein offengelegtes Token nutzbar bleibt. Wo eine automatische Rotation möglich ist, empfehlen sich kurze Laufzeiten.
  • Regelmäßig rotieren und widerrufen. Tokens regelmäßig ersetzen und alle widerrufen, die ungenutzt, nicht mehr nötig oder möglicherweise offengelegt sind.