Zum Inhalt springen
servus.

API-Keys

Erstelle einen gescopeten Key für programmatischen Zugriff, sende ihn bei jedem /v1-Request und rotiere ihn, sobald er leakt.

Zuletzt aktualisiert 18. Juni 2026

Einen Key erstellen

Erstelle unter API-Keys im Portal (oder POST /portal/api-keys) einen Key mit Label und Scopes (das Bitfeld Send=1, Read=2, Contacts=4, Admin=8, ungleich null). live steuert das Key-Präfix (live vs. test). Der rohe Key wird genau einmal zurückgegeben — kopiere ihn jetzt; nur ein Hash wird gespeichert.

Bei jedem Request senden

Authentifiziere /v1-Aufrufe mit dem Key in einem Header — X-Api-Key: <key> oder Authorization: Bearer <key> / Authorization: ApiKey <key>. Der Tenant wird aus dem Key aufgelöst. Ein fehlender oder ungültiger Key scheitert geschlossen mit 401.

Least Privilege

Gewähre nur die Scopes, die ein Key braucht. Eine reine Send-Integration bekommt Send; ein Dashboard, das Status liest, bekommt Read. Ein Key ohne den Scope einer Route bekommt 403 — ein Signal, mit dem richtigen Scope neu zu erstellen, nicht über zu gewähren.

Bei Leak rotieren

Widerrufe einen geleakten Key sofort (DELETE /portal/api-keys/{id}) und erstelle einen Ersatz. Da nur ein Hash gespeichert wird, kann Servus den rohen Wert nicht für dich wiederherstellen — Rotation ist der Wiederherstellungsweg.