API-Schlüssel

API-Schlüssel authentifizieren programmatischen Zugriff auf Ihren bont-Workspace — für eigene Integrationen und zum Verwalten von Webhooks. Jeder Schlüssel trägt eine Reihe von Scopes, die genau festlegen, was er lesen oder ändern darf — so vergeben Sie eng begrenzten Zugriff statt Alles-oder-nichts-Credentials.

Öffnen

Einstellungen → Integrationen → API-Schlüssel. Die Seite listet Ihre Schlüssel mit Prefix, Scopes, Ablauf und dem Zeitpunkt der letzten Nutzung.

Schlüssel anlegen

1. Auf + Neuer API-Schlüssel klicken.
2. Einen Namen geben, der sagt, wo er genutzt wird (zum Beispiel „Zapier“ oder „Internal Sync“).
3. Ein optionales Ablaufdatum setzen — kurzlebige Schlüssel sind sicherer und leicht zu rotieren.
4. Die Scopes wählen: jeder Scope ist eine Ressource (Contacts, Companies, Deals und so weiter) kombiniert mit einer Aktion, sodass ein Schlüssel read-only oder auf bestimmte Objekte begrenzt sein kann.

Der vollständige Schlüssel wird einmal angezeigt, beim Anlegen. Kopieren Sie ihn sofort in den Secrets-Store Ihrer Integration — bont speichert nur eine gehashte Version und kann ihn nicht erneut zeigen. Geht er verloren, den Schlüssel widerrufen und einen neuen anlegen.

Rotieren und widerrufen

Einen Schlüssel bearbeiten, um Name, Scopes oder Ablauf anzupassen. Einen Schlüssel widerrufen, sobald er nicht mehr gebraucht wird oder offengelegt sein könnte — der Widerruf wirkt sofort, und jeder Aufrufer, der ihn nutzt, hört auf zu funktionieren. Regelmäßiges Rotieren (neuen Schlüssel anlegen, Integration umstellen, dann alten widerrufen) verhindert, dass sich langlebige Credentials ansammeln.

Schlüssel sicher halten

• Schlüssel in einem Secrets-Manager oder einer Environment-Variable ablegen — nie in geteilten Dokumenten, Tickets oder Client-seitigem Code.
• Jeder Integration einen eigenen Schlüssel geben, gescopet auf genau das Nötige.
• Ablaufdaten setzen und planmäßig rotieren.

Verwandte Artikel

• Webhooks
• Integrationen-Überblick: Was bont anbindet und warum