Zum Hauptinhalt springen
Mit API-Schlüsseln können Skripte, No-Code-Tools und Ihre eigenen Backend-Dienste die Flowella REST-API im Namen Ihrer Organisation aufrufen. Auf dieser Seite erfahren Sie, wie Sie Schlüssel über den In-App-Bildschirm Einstellungen → API-Schlüssel verwalten können. Was die API leisten kann, erfahren Sie in der API-Referenz.

Wer kann API-Schlüssel verwalten

Nur die Rollen Owner oder Admin sehen Einstellungen → API-Schlüssel. Mitglieder haben keinen Zugriff auf diesen Bildschirm und können keine API-Endpunkte aufrufen.

Erstellen eines API-Schlüssels

1

Öffnen Sie Einstellungen → API-Schlüssel

Gehen Sie in der linken Navigation auf Einstellungen → API-Schlüssel.
2

Klicken Sie auf Schlüssel erstellen

Geben Sie dem Schlüssel ein Label, das beschreibt, wofür er gedacht ist (zum Beispiel n8n production, analytics export script). Labels sind nur innerhalb von Flowella sichtbar - sie werden nicht in API-Anfragen gesendet.
3

Wählen Sie einen Bereich (optional)

Standardmäßig erben Schlüssel den gesamten Satz der für Ihren Plan verfügbaren API-Endpunkte. Sie können einen Schlüssel optional auf eine Teilmenge von Bereichen beschränken - zum Beispiel nur Analysen lesen oder Nachrichten: nur senden.
4

Kopieren Sie das Geheimnis sofort

Flowella zeigt das geheime Token exakt einmal in einem Bestätigungsmodal an. Kopieren Sie es jetzt - Sie können es nicht noch einmal sehen. Wenn Sie ihn verlieren, müssen Sie den Schlüssel widerrufen und einen neuen erstellen.
Das Geheimnis wird nur einmal angezeigt. Flowella speichert eine gehashte Kopie und kann den Klartext nicht wiederherstellen. Behandeln Sie Schlüssel wie Passwörter - übertragen Sie sie nie in die Versionsverwaltung, fügen Sie sie nie in Chats oder freigegebene Dokumente ein.

Einen Schlüssel verwenden

Übergeben Sie den Schlüssel bei jeder Anfrage als Überbringer-Token: 
curl https://api.flowella.io/v1/messages \
  -H "Authorization: Bearer flwl_live_..." \
  -H "Content-Type: application/json"
Siehe die API-Referenz für Details zu den Endpunkten, Ratenbeschränkungen und Fehlercodes.

Vorhandene Schlüssel anzeigen

Die Liste Einstellungen → API-Schlüssel zeigt die einzelnen Schlüssel an:
  • Label
  • Präfix (die ersten acht Zeichen, z.B. flwl_live_a1b2c3) - nützlich für den Abgleich mit Protokollen.
  • Geltungsbereich
  • Erstellt am und Erstellt von
  • Last used at - wird bei jeder erfolgreichen Anfrage aktualisiert.
  • Status - aktiv oder widerrufen.
Das Klartextgeheimnis wird nach der Erstellung niemals angezeigt.

Drehen eines Schlüssels

Es gibt keine Rotation an Ort und Stelle - Sie erstellen einen neuen Schlüssel und widerrufen den alten, sobald Ihr Dienst umgeschaltet hat.
1

Einen Ersatz erstellen

Folgen Sie dem obigen Erstellen-Fluss, um einen neuen Schlüssel mit demselben Geltungsbereich zu erstellen.
2

Verraten Sie das neue Geheimnis

Aktualisieren Sie Ihren Dienst (oder n8n-Workflow, Postman-Umgebung usw.), um das neue Inhaber-Token zu verwenden.
3

Bestätigen Sie, dass der neue Schlüssel aktiv ist

Achten Sie auf das Feld Last used at des neuen Schlüssels - es wird innerhalb einer Minute nach dem ersten Aufruf aktualisiert.
4

Widerrufen Sie den alten Schlüssel

Klicken Sie auf Rückgängig machen für den vorherigen Schlüssel. Ab diesem Zeitpunkt liefert jede Anfrage, die das alte Geheimnis verwendet, 401 Unauthorized.

Schlüssel widerrufen

Klicken Sie in der Zeile auf Widerrufen und bestätigen Sie dann im Dialog. Der Widerruf erfolgt unmittelbar - laufende Anfragen mit diesem Schlüssel können abgeschlossen werden, aber die nächste Anfrage liefert 401. Ein widerrufener Schlüssel kann nicht reaktiviert werden. Die Zeile bleibt in der Liste sichtbar (ausgegraut, mit dem Zeitstempel des Widerrufs), so dass Sie einen Prüfpfad haben.

Audit-Protokoll

Jedes Erstellungs-, Widerrufs- und (sofern aktiviert) Geltungsbereichs-Änderungsereignis wird zusammen mit Ihrem Benutzer, Ihrer IP und dem Verfolgungskontext in das Prüfprotokoll von org geschrieben. Wenn Ihr Plan oder Vertrag die Audit-Protokollfunktion umfasst, können Sie die API-Schlüsselaktivitäten dort überprüfen.

Allgemeine Fragen

Es gibt keine feste Grenze für Hobby- oder kostenpflichtige Pläne, aber eine sehr große Anzahl aktiver Schlüssel (50+) erschwert die Rotation und Überprüfung. Verwenden Sie lieber einen Schlüssel pro Integration als einen pro Entwickler.
Schlüssel laufen nicht automatisch ab. Wir empfehlen, sie mindestens alle 12 Monate zu rotieren und sofort, wenn ein Schlüssel möglicherweise ausgesetzt wurde.
Derzeit sind die Schlüssel auf die Organisation beschränkt, nicht auf einen bestimmten Channel. Die Zuweisung auf Channel-Ebene ist in Planung. In der Zwischenzeit wählen Sie den aktiven Kanal über die Nutzlast der Anfrage oder den Pfad.
Widerrufen Sie ihn sofort von dieser Seite. Erstellen Sie einen Ersatz mit demselben Umfang. Prüfen Sie das Audit-Protokoll auf alle Anfragen, die den Schlüssel in der Zeit, in der er ausgesetzt war, verwendet haben, und drehen Sie alle nachgelagerten Geheimnisse, die dieser Schlüssel möglicherweise erstellt hat (z.B. Webhook-Signierschlüssel).

Verwandt

API-Einführung

Autorisierung, Fehler, Ratenbegrenzung und Paginierung.

Webhaken

Pushen Sie Ereignisse an Ihre eigenen Systeme, anstatt sie abzufragen.

Team und Rollen

Nur Besitzer und Admins können API-Schlüssel verwalten.

Datensicherheit

Audit-Protokollabdeckung für Ereignisse zum Erstellen/Widerrufen von Schlüsseln.