Dokumentation / Mitgliederportal & Integrationen

API-Key und offene Schnittstelle sicher verwenden

Tenant-gebundenen API-Key in den Einstellungen erzeugen, sicher speichern, für öffentliche Website-Integrationen verwenden und bei Verdacht rotieren.

Kurz erklärt

Ein Vereins-API-Key authentisiert technische Zugriffe im Namen genau dieses Vereins. HTTPS schützt den Transport; der Key bleibt trotzdem ein Geheimnis und gehört nicht in öffentlich ausgelieferten Browsercode.

Für: Vorstand, technische Betreuung und Website-Administratoren

Voraussetzungen

  • Vorstandszugriff auf Einstellungen
  • Konkreter Integrationszweck
  • Serverseitige oder dafür vorgesehene Plugin-Konfiguration

Schritt-für-Schritt

  1. Integrationszweck festlegen

    Kläre, welche öffentlichen Vereinsdaten eine Website oder Anwendung wirklich benötigt.

  2. API-Key erzeugen

    Öffne die API-Einstellungen und erstelle einen tenant-gebundenen Schlüssel.

  3. Key sofort sicher speichern

    Übertrage ihn nur in die geschützte Server- oder Plugin-Konfiguration. Teile ihn nicht per offenem Chat oder Quellcode.

  4. Verbindung testen

    Nutze die offizielle API-Dokumentation oder die Testfunktion des Plugins und prüfe den erwarteten Vereinskontext.

  5. Key rotieren

    Ersetze ihn, wenn er offengelegt wurde, eine Integration endet oder technische Zuständigkeit wechselt.

Warum HTTPS und API-Key unterschiedliche Aufgaben haben

HTTPS verschlüsselt die Verbindung zwischen Systemen. Der API-Key entscheidet zusätzlich, welcher Verein und welche technische Berechtigung angesprochen werden.

Mandanten sollten keine beliebigen Webhook-Ziele für normalen Websiteabruf benötigen. Die vorhandene API wird von geprüften Integrationen aufgerufen.

Typische Probleme

Die API antwortet mit 401.

Prüfe Bearer-Header, vollständigen Key und ob der Schlüssel noch aktiv ist.

Daten des Vereins werden nicht gefunden.

Prüfe, ob der Key zum richtigen Verein gehört und ob für den Endpunkt passende Daten vorhanden sind.

In der App öffnen