Wie widerrufe ich einen API-Token?
Kurzantwort
Abschnitt betitelt „Kurzantwort“Öffne Verwaltung → API-Tokens, suche den Token (Name/Präfix) und wähle Widerrufen. Nach der Bestätigung („Diesen Token widerrufen?”) ist er sofort und endgültig ungültig. Ein Widerruf lässt sich nicht rückgängig machen; bei Bedarf erstellst du einfach einen neuen Token.
Voraussetzungen
Abschnitt betitelt „Voraussetzungen“Anleitung
Abschnitt betitelt „Anleitung“-
Token identifizieren. Verwaltung → API-Tokens. Ordne den Eintrag über Name und Präfix (die ersten 12 Zeichen, z. B.
inv_9f3kX2mQ) zu; das Präfix steht auch am Anfang des Werts in deiner Integration. Zuletzt genutzt hilft bei der Einschätzung, ob er noch gebraucht wird. -
Widerrufen. Klicke die Widerrufen-Aktion des Eintrags und bestätige „Diesen Token widerrufen?”. Der Eintrag verschwindet aus der Liste; jede weitere Anfrage mit diesem Token scheitert ab sofort.
-
Bei Rotation: erst ersetzen, dann widerrufen. Läuft eine Integration produktiv: zuerst neuen Token erstellen, die Integration umstellen, Funktion prüfen, dann den alten widerrufen. So gibt es keine Ausfallzeit.
Der Widerruf ist ein DELETE auf den Token (die id liefert die Liste):
curl -H "Authorization: Bearer inv_dein_token" \ https://demo.notory.io/api/v1/api-tokenscurl -X DELETE https://demo.notory.io/api/v1/api-tokens/018f9e33-4d5e-7f66-a071-8b9c0d1e2f30 \ -H "Authorization: Bearer inv_dein_token"{ "success": true, "message": "API token revoked" }Ein Aufruf mit dem widerrufenen Token liefert ab sofort:
{ "detail": "Invalid or expired API token" }Mögliche Fehler: 404 (Token-ID existiert nicht oder gehört einem anderen
Benutzer, fremde Tokens sind für dich unsichtbar), 401 (Anfrage selbst nicht
authentifiziert).
Was passiert dabei?
Abschnitt betitelt „Was passiert dabei?“- Harter, sofortiger Schnitt. Der Widerruf löscht den Token-Datensatz (kein Soft-Delete). Da jede API-Anfrage den Token per Hash-Lookup live prüft, wirkt der Widerruf mit der nächsten Anfrage: Es gibt keine Sitzungen oder Caches, die weiterlaufen.
- Kein Wiederherstellen. Weil serverseitig nur der Hash existierte, kann ein widerrufener Token weder reaktiviert noch erneut angezeigt werden. Ersatz = neuer Token.
- Alternative Entwertungswege. Neben dem Widerruf entwerten auch das Ablaufdatum
(
expires_at) und die Deaktivierung des Besitzer-Kontos einen Token. Letzteres ist der Not-Aus für Administratoren, wenn ein fremdes Konto betroffen ist (Benutzer deaktivieren). - Eigentum strikt geprüft. Der Endpunkt filtert auf deinen Benutzer und Mandanten:
Fremde Tokens sind nicht auffindbar (
404statt403, keine Existenz-Preisgabe).