Zum Inhalt springen

Wie widerrufe ich einen API-Token?

Ab Tarif Basic

Öffne Verwaltung → API-Tokens, suche den Token (Name/Präfix) und wähle Widerrufen. Nach der Bestätigung („Diesen Token widerrufen?”) ist er sofort und endgültig ungültig. Ein Widerruf lässt sich nicht rückgängig machen; bei Bedarf erstellst du einfach einen neuen Token.

  1. Token identifizieren. Verwaltung → API-Tokens. Ordne den Eintrag über Name und Präfix (die ersten 12 Zeichen, z. B. inv_9f3kX2mQ) zu; das Präfix steht auch am Anfang des Werts in deiner Integration. Zuletzt genutzt hilft bei der Einschätzung, ob er noch gebraucht wird.

  2. Widerrufen. Klicke die Widerrufen-Aktion des Eintrags und bestätige „Diesen Token widerrufen?”. Der Eintrag verschwindet aus der Liste; jede weitere Anfrage mit diesem Token scheitert ab sofort.

  3. Bei Rotation: erst ersetzen, dann widerrufen. Läuft eine Integration produktiv: zuerst neuen Token erstellen, die Integration umstellen, Funktion prüfen, dann den alten widerrufen. So gibt es keine Ausfallzeit.

  • Harter, sofortiger Schnitt. Der Widerruf löscht den Token-Datensatz (kein Soft-Delete). Da jede API-Anfrage den Token per Hash-Lookup live prüft, wirkt der Widerruf mit der nächsten Anfrage: Es gibt keine Sitzungen oder Caches, die weiterlaufen.
  • Kein Wiederherstellen. Weil serverseitig nur der Hash existierte, kann ein widerrufener Token weder reaktiviert noch erneut angezeigt werden. Ersatz = neuer Token.
  • Alternative Entwertungswege. Neben dem Widerruf entwerten auch das Ablaufdatum (expires_at) und die Deaktivierung des Besitzer-Kontos einen Token. Letzteres ist der Not-Aus für Administratoren, wenn ein fremdes Konto betroffen ist (Benutzer deaktivieren).
  • Eigentum strikt geprüft. Der Endpunkt filtert auf deinen Benutzer und Mandanten: Fremde Tokens sind nicht auffindbar (404 statt 403, keine Existenz-Preisgabe).