Zum Inhalt springen

Wie erstelle ich einen API-Token?

Ab Tarif Basic

Öffne Verwaltung → API-Tokens, klicke „Token erstellen”, vergib einen Namen (z. B. „CI-Pipeline”), wähle die Scopes (read, write oder beides) und optional ein Ablaufdatum. Nach dem Speichern zeigt Notory den Token-Wert (inv_…) genau einmal. Kopiere ihn sofort an einen sicheren Ort. Danach ist nur noch das Präfix sichtbar.

In allen Tarifen verfügbar.

  1. API-Tokens öffnen. Verwaltung → API-Tokens („Persönliche Zugriffstokens für die REST-API. Der Wert wird nur einmal angezeigt.”). Die Liste zeigt Name, Präfix, Scopes, Erstellt und Zuletzt genutzt.

    Die Token-Liste zeigt nur Metadaten, nie den geheimen Wert.
  2. Token anlegen. Klicke „Token erstellen”, vergib einen sprechenden Namen (z. B. „CI-Pipeline”) und wähle die Scopes: read (nur lesen), write (lesen + schreiben); ohne Auswahl gilt der volle Zugriff im Rahmen deiner Rolle. Optional setzt du ein Ablaufdatum.

  3. Wert sofort kopieren. Nach dem Erstellen erscheint: „Neuer Token, jetzt kopieren, er wird nicht erneut angezeigt:”. Kopiere den Wert (inv_…) in deinen Passwort-Manager bzw. das Secret-Management deiner Pipeline.

    Der Klartext-Wert erscheint genau einmal, danach ist nur noch das Präfix sichtbar.
  4. Testen. Ein erster Aufruf mit dem neuen Token:

    Terminal-Fenster
    curl -H "Authorization: Bearer inv_dein_neuer_token" \
    https://demo.notory.io/api/v1/assets
  • Sicheres Format, gehashte Ablage. Notory erzeugt inv_ + 32 zufällige URL-sichere Bytes. Gespeichert wird nur der SHA-256-Hash. Der Klartext existiert serverseitig nach der Antwort nicht mehr. Deshalb kann er nie wieder angezeigt werden. Zur Wiedererkennung merkt sich Notory die ersten 12 Zeichen als Präfix.
  • Scope-Semantik. read erlaubt nur lesende Methoden (GET/HEAD/OPTIONS); write erlaubt Änderungen und schließt Lesen ein. Ohne Scopes gilt der volle Zugriff im Rahmen deiner Rolle (Kompatibilitätsverhalten). Ein unpassender Zugriff endet mit 403 („API token scope does not permit this operation”).
  • Token ≤ Benutzer. Jede Anfrage mit dem Token läuft unter deinem Konto: Rolle, Berechtigungen und Mandant gelten unverändert; die Mandanten-Isolation (RLS) wird pro Anfrage auf den Token-Mandanten gesetzt. Wird dein Konto deaktiviert, sind alle deine Tokens sofort nutzlos (401).
  • Ablauf und Nutzungsspur. Nach expires_at antwortet die API mit 401 („Invalid or expired API token”). Bei jeder Nutzung aktualisiert Notory last_used_at. So erkennst du verwaiste oder missbrauchte Tokens.