API-Sicherheitsrichtlinien
Diese Richtlinien helfen dir, die ResellerAPI sicher in dein System zu integrieren und typische Sicherheitsrisiken zu vermeiden.
1. API-Schlüssel sicher verwalten
API-Key schützen
Behandle deinen API-Key wie ein Passwort. Ein kompromittierter Key gibt vollen Zugriff auf deine Reseller-Funktionen.
- Speichere den Key nicht in öffentlichen Repositories (GitHub, GitLab, Bitbucket)
- Verwende ihn nicht im Frontend (JavaScript, HTML, mobile Apps)
- Nutze Umgebungsvariablen statt Hardcoding im Quellcode
- Erneuere den Token regelmäßig und sofort bei verdächtigen Aktivitäten
2. Authentifizierung
Alle API-Anfragen müssen über HTTPS laufen und den API-Key als Bearer Token im Header mitschicken:
Kein HTTP
Verwende niemals unverschlüsselte HTTP-Verbindungen. Nur HTTPS schützt vor Man-in-the-Middle-Angriffen.
3. Rate Limits
Die API begrenzt Anfragen pro Minute, um Stabilität zu gewährleisten. Bei Überschreitung erhältst du 429 Too Many Requests.
- Implementiere exponentielles Backoff bei
429-Antworten - Vermeide unnötige API-Aufrufe durch Caching
- Nutze den API-Debugger zur Überwachung
Details zu den Limits findest du unter Rate Limiting.
4. Berechtigungen
Nicht alle Endpunkte sind für jeden Reseller freigeschaltet. Prüfe deine aktiven Berechtigungen unter API-Schnittstellen.
Bei fehlender Berechtigung antwortet die API mit:
{
"requestId": 0,
"data": [],
"status": "error",
"messages": {
"errors": [
{
"code": 40301,
"message": "Access denied for this token on the requested route"
}
]
}
}
Kontaktiere das Vertriebsteam, wenn du Zugriff auf weitere Endpunkte benötigst.
5. Notfallmaßnahmen
Bei verdächtigen API-Aktivitäten oder Verdacht auf Kompromittierung:
- Generiere sofort einen neuen API-Key im Webinterface
- Prüfe die letzten Zugriffe im API-Verlauf
- Kontaktiere den Reseller-Support für eine Untersuchung