# API-Token erstellen & verwalten Jeder API-Request muss mit einem **Bearer-Token** authentifiziert werden. Token werden in SendDrop selbst erzeugt und können jederzeit widerrufen werden. *** ### Token erstellen {% stepper %} {% step %} #### Einstellungen → API / Schnittstelle Öffnen Sie in der Sidebar **Einstellungen → API / Schnittstelle**. {% endstep %} {% step %} #### „Neues Token" klicken Oben rechts. {% endstep %} {% step %} #### Token benennen Geben Sie einen beschreibenden Namen (z. B. „Odoo Produktion", „Dev-Maschine Florian"). Das hilft Ihnen später, Token zuzuordnen. {% endstep %} {% step %} #### Umfang wählen (sofern verfügbar) Bei Enterprise-Accounts können Sie Token mit eingeschränkten Rechten erzeugen (z. B. nur Lesen). {% endstep %} {% step %} #### Erstellen & kopieren Das Token wird **nur einmal** vollständig angezeigt. Kopieren Sie es sofort und legen Sie es in einem sicheren Passwort-Manager ab. {% endstep %} {% endstepper %} \[BILD-049 – Bild einfügen, welches Folgendes darstellt: Dialog „Neues API-Token erstellen" mit Namensfeld, Umfangs-Auswahl und dem hervorgehobenen Kopier-Symbol für den generierten Token.] *** ### Token-Format SendDrop-Token beginnen mit einem Präfix, um den Typ zu kennzeichnen: | Präfix | Bedeutung | | ------------- | -------------------------------------- | | `sk_live_...` | Produktions-Token für Live-Daten | | `sk_test_...` | Test-Token (Sandbox, sofern verfügbar) | *** ### Token widerrufen Wenn ein Token kompromittiert wurde oder nicht mehr gebraucht wird: {% stepper %} {% step %} #### Token-Liste öffnen Einstellungen → API / Schnittstelle. {% endstep %} {% step %} #### Betroffenes Token suchen An Name und letztem Zugriff erkennbar. {% endstep %} {% step %} #### Widerrufen klicken Das Token wird sofort ungültig. Alle Systeme, die damit arbeiten, schlagen fehl. {% endstep %} {% step %} #### Neues Token erstellen und umstellen Betroffene Systeme mit neuem Token konfigurieren. {% endstep %} {% endstepper %} {% hint style="warning" %} **Widerrufen ist nicht rückgängig zu machen.** Das alte Token funktioniert danach nicht mehr – auch nicht erneut aktivierbar. {% endhint %} *** ### Best Practices * **Separate Token pro System/Umgebung**: so können Sie einzeln widerrufen, ohne alles neu zu konfigurieren. * **Sprechende Namen**: nutzen Sie Umgebungen + Verantwortliche (z. B. „Prod-ERP-SAP"). * **Rotation**: mindestens einmal jährlich neue Token erzeugen, alte widerrufen. * **Nie im Code-Repository committen**: immer als Umgebungsvariable/Secret verwalten. * **Nie im Browser/Frontend verwenden**: Token gehört **ausschließlich** in Server-seitige Systeme. *** ### Letzter Zugriff prüfen In der Token-Übersicht sehen Sie für jedes Token: * **Erstellt am** * **Zuletzt verwendet am** * **Name / Beschreibung** Wenn ein Token lange nicht mehr verwendet wurde, widerrufen Sie es im Zweifel. *** ### Bei Kompromittierung Falls ein Token in falsche Hände geraten ist (z. B. versehentlich in einem öffentlichen Repo gelandet): 1. **Sofort widerrufen** (siehe oben). 2. **Neues Token** erstellen. 3. **Audit-Log** (Enterprise) prüfen, welche Requests mit dem alten Token liefen. 4. **SendDrop-Support informieren**, wenn ungewöhnliche Aktivität zu sehen ist. *** ### Siehe auch {% content-ref url="/pages/ZFJXurN97mu1mgXyHzat" %} [SendDrop REST-API: Überblick](/10.-entwickler-and-integrationen/rest-api-ueberblick.md) {% endcontent-ref %} {% content-ref url="/pages/YMo2pftej5EmimqvdIny" %} [Rate Limits & Fehlerbehandlung](/10.-entwickler-and-integrationen/rate-limits-fehler.md) {% endcontent-ref %} --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://wiki.senddrop.com/10.-entwickler-and-integrationen/api-token.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.