Zum Hauptinhalt springen
DokumentOffene API-PlattformApi-schlüsselverwaltung

Api-schlüsselverwaltung

Token-Format, Erstellungsablauf, 8 Berechtigungs-Scopes, Lebenszyklus, Nutzungsanalyse und Sicherheits-Best-Practices.

Der API-Schlüssel ist Ihr einziger Berechtigungsnachweis für die Kommunikation mit der offenen Plattform von Braidrun. Jeder Schlüssel enthält eine Reihe von Bereichen (Berechtigungsbereich) und ein Token. Bei Verlust oder Durchsickern wird die neue Erstellung sofort widerrufen.

Token-format

text
dyk_<id>_<secret>

例:dyk_a3b9c8d7e6f5a1b2_AbCdEfGhIjKlMnOpQrStUvWxYz0123456789
  • dyk_ — Markenpräfix, um das Git-Secret-Scanning-/Log-Desensibilisierungstool identifizierbar zu machen
  • <id> — 16-stellige öffentliche base62-ID, verwendbar als Lookup-Key (nicht sensibel)
  • <secret> — 32-Byte-Zufallsgeheimnis, Base64-URL-Kodierung (sensibel, das Hochladen von Protokollen/Fehlermeldungen ist nicht zulässig)
Token wird nur einmal angezeigt

Beim Generieren eines API-Schlüssels wird der Original-Token nur einmal im Erstellungsdialog angezeigt. Nach dem Schließen behält der Server nur den Argon2id-Hash und kann den Originaltext nicht überprüfen. Bitte kopieren und speichern Sie es jetzt in Ihrem Schlüsselverwaltungstool (1Password/Vault/Doppler/GitHub Secrets/usw.).

Api-schlüssel erstellen

  1. Besuchen Sie die Konsole → Kontoeinstellungen → API-Schlüssel
  2. Klicken Sie auf „Neuer API-Schlüssel“.
  3. Ausfüllen: Name (zur Identifizierung), Umfangsliste, Gültigkeitsdauer (dauerhaft / 30 Tage / 90 Tage / 1 Jahr)
  4. Klicken Sie auf „Schlüssel generieren“ → Token jetzt kopieren

Bereiche

Scopes sind feingranulare Berechtigungen, insgesamt 8: 7 lassen sich selbst vergeben, CLUSTER_ADMIN ist Administratoren vorbehalten. Vergeben Sie einem Key so wenige wie möglich — nach dem Prinzip der minimalen Rechte.

Scopewas kann getan werdenTypische Szenarien
WEBHOOK_TRIGGERLösen Sie den an diesen Schlüssel gebundenen Webhook ausGitHub Push → Workflow; Rückruf des Upstream-Geschäftssystems
APPROVAL_RESPONDmanual_approval-Schritte genehmigen / ablehnen — deckt den Genehmigungs-Webhook und die v1-Genehmigungs-Endpunkte ab (/api/v1/approvals/*, inkl. Auflisten offener Genehmigungen, Lesen von Details, Einreichen des bearbeiteten Genehmigungsformulars)Ein-Klick-Genehmigungslinks per E-Mail / Slack; Anbindung externer Genehmigungssysteme
WORKFLOW_READWorkflow-Definitionen auflisten/lesenZeigen Sie die aktuelle Workflow-Liste in einem externen Dashboard an
WORKFLOW_EXECUTEWorkflows über API starten (Ersatz des Webhook-Modus)SDK-Integration; automatisiertes Testen; Batch-Aufgaben
EXECUTION_READAusführungsstatus abfragen/vollständiges Ergebnis lesenBackflow-Ausführungsergebnisse an Enterprise BI/Data Warehouse
EXECUTION_CANCELBrechen Sie eine laufende Ausführung ab„Stopp“-Taste am Steuerpult/Notschalter
ARTIFACT_READAusführungsprodukte auflisten/Download-Link erhaltenArchivberichte zum Objektspeicher; Übertragen Sie die Ergebnisse an nachgelagerte Systeme
CLUSTER_ADMINNur für Administratoren: Clusterstatus lesen, Autoscaling-Richtlinien verwalten. Nur Administratoren können ihn vergeben; erstellt ein Nicht-Administrator einen Key, wird dieser Scope automatisch entferntBetriebs-Servicekonto für On-Premise-Deployments

Lebenszyklus

  • erstellen — Benutzer-Selbstbedienung; Umfang + Gültigkeitsdauer entscheiden Sie
  • Benutzen — Bei jedem erfolgreichen Aufruf wird die Nutzung automatisch erfasst und der lastUsedAt-Zeitstempel aktualisiert.
  • Revoke — Benutzer können jederzeit auf der Seite „API-Schlüssel“ auf „Widerrufen“ klicken; idempotent
  • Läuft ab — expiresAt läuft sofort nach der Ankunft ab; Es ist kein aktiver Widerruf erforderlich

Dosierungsanalyse

Klicken Sie für jeden Schlüssel in der Tabelle „API-Schlüssel“ auf „Verwendung“. Daraufhin wird eine Diagrammanalyse angezeigt:

  • Kumulierte Anzahl von Anrufen + innerhalb des Fensters (7/30/90/180 Tage optional)
  • Spitzentag (an welchem Tag gibt es die meisten Anrufe)
  • Liniendiagramm der täglichen Anrufe
  • Kreisdiagramm zur Anrufendpunktverteilung (webhook.trigger/workflow.execute/etc)
  • Zuletzt genutzte Zeit

Bei der Nutzung werden nur erfolgreiche Antworten gezählt (HTTP 2xx). Authentifizierungsfehler/Anfragen mit eingeschränkter Rate werden nicht gezählt.

Wichtige Best Practices für die Sicherheit

bitte beachten
  • Verwenden Sie für jede Umgebung (Produktion/Staging/lokal) unabhängige Schlüssel – im Falle eines Vorfalls wird nur die betroffene Umgebung widerrufen
  • Jede externe Integration verwendet einen separaten Schlüssel – verwenden Sie „Verwendung“, um zu sehen, welche Integration verwendet wird
  • Senden Sie Token niemals an das Code-Repository
  • Als verschlüsseltes Geheimnis in CI/CD einfügen; Nicht in Protokolle drucken
  • Beachten Sie, dass die „zuletzt genutzte“ Zeit von Ihrer Erwartung abweicht → sofort widerrufen und die Protokolle überprüfen
  • Schlüssel, die an Kurzzeitpartner vergeben werden, müssen auf „expiresAt“ (empfohlen innerhalb von 90 Tagen) eingestellt sein.