API-Schlüssel
Bearer-API-Schlüssel erstellen, Berechtigungsstufen verstehen und Anfragen korrekt authentifizieren.
Zuletzt aktualisiert: 2026-04-17
API-Schlüssel
Alle nativen Plattform-API-Endpunkte unter /api2/v1/ sind mit API-Schlüsseln geschützt. Schlüssel werden im Admin-Bereich erstellt und als Bearer-Token in jeder HTTP-Anfrage mitgeschickt.
Schlüssel erstellen
- Melden Sie sich im Admin-Bereich an.
- Navigieren Sie zu Einstellungen → API-Schlüssel.
- Klicken Sie auf Neuen Schlüssel erstellen.
- Geben Sie einen beschreibenden Namen ein, der den Verwendungszweck erklärt (z. B. „ERP-Anbindung – Produkte lesen").
- Wählen Sie die passende Berechtigungsstufe (siehe unten).
- Klicken Sie auf Erstellen und kopieren Sie den angezeigten Schlüssel sofort — er wird nur einmal angezeigt und kann danach nicht mehr abgerufen werden.
Berechtigungsstufen
| Stufe | Lesen (GET) | Schreiben (POST/PUT/DELETE) | Empfehlung |
|---|---|---|---|
read | ✅ | ❌ | Monitoring, Dashboards, externe Lesezugriffe |
read_write | ✅ | ✅ | ERP-Systeme, Automatisierungen, MCP-Agents |
Wählen Sie read, wenn nur Datenabrufe notwendig sind. read_write ermöglicht alle Mutationen — geben Sie diesen Schlüssel nur an Systeme weiter, denen Sie voll vertrauen.
Es gibt keine feinere Berechtigungsvergabe pro Endpunkt. Alle
/api2/v1/Endpunkte teilen dieselben zwei Stufen.
Schlüssel in Anfragen verwenden
Fügen Sie den Schlüssel als Authorization-Header in jede Anfrage ein:
GET /api2/v1/products
Authorization: Bearer <ihr-api-schlüssel>
curl-Beispiel:
curl https://ihr-shop.de/api2/v1/products \
-H "Authorization: Bearer sk_live_abc123..."
Der Header muss bei jeder Anfrage mitgesendet werden. Cookies oder Session-Tokens werden von der Platform API nicht akzeptiert.
Fehlercodes
| HTTP-Status | Bedeutung | Lösung |
|---|---|---|
401 Unauthorized | Kein oder ungültiger Schlüssel | Schlüssel prüfen, ggf. neu erstellen |
403 Forbidden | Schlüssel hat keine Schreibberechtigung | Schlüssel mit read_write verwenden |
Beispiel-Fehlerantwort (401):
{ "error": "Unauthorized" }
Beispiel-Fehlerantwort (403):
{ "error": "Forbidden – read-only key cannot perform write operations" }
Schlüssel verwalten
Schlüssel können nur im Admin-Bereich verwaltet werden — es gibt keine API zum Erstellen oder Rotieren von Schlüsseln. Um einen kompromittierten Schlüssel zu invalidieren, löschen Sie ihn im Admin-Bereich und erstellen Sie anschließend einen neuen.