Authentifizierung

Authentifizierung der DPP-API, API-Schlüssel-Header, Fehlercodes und Sicherheitshinweise.

Die DPP-API verwendet API-Schlüssel-Authentifizierung über einen eigenen Anfrage-Header. Jeder API-Aufruf muss einen gültigen API-Schlüssel im x-api-key-Header enthalten.

Endpunkt-Details, Beispielanfragen und „Try it out" findest du in der interaktiven API-Referenz (Swagger). Diese Seite beschreibt das Konzept und die Sicherheitsanforderungen, nicht die einzelnen Endpunkte.

Server

Alle API-Aufrufe gehen gegen:

https://my.digital-product-passport.cloud

Anfrage-Header

Jede Anfrage übergibt den API-Schlüssel im x-api-key-Header:

x-api-key: <API-KEY>
Content-Type: application/json

Beispiel mit cURL:

curl -X GET \
  https://my.digital-product-passport.cloud/<endpoint> \
  -H "x-api-key: <API-KEY>" \
  -H "Content-Type: application/json"

API-Schlüssel werden über die Admin-Oberfläche unter Organization → API Keys erstellt und verwaltet.

Typische Fehlercodes

HTTP StatusBedeutung
401 UnauthorizedKein x-api-key gesetzt, Schlüssel ungültig, abgelaufen oder gesperrt
403 ForbiddenAPI-Schlüssel hat nicht die erforderliche Rolle für den Endpunkt
429 Too Many RequestsRate Limit überschritten

Die konkreten Antwort-Schemata pro Endpunkt findest du in der Swagger-Referenz.

Sicherheitshinweise

  • Übertrage API-Schlüssel ausschließlich über HTTPS.
  • Verwende API-Schlüssel nie im Frontend-Code oder in öffentlichen Repositories; sie sind serverseitige Zugangsdaten.
  • Speichere Schlüssel in Umgebungsvariablen oder einem Secret Manager (z.B. Azure Key Vault, AWS Secrets Manager, HashiCorp Vault, 1Password Secrets).
  • Pro Integration ein eigener Schlüssel – das erleichtert Rotation und Nachvollziehbarkeit.
  • Bei Verdacht auf Kompromittierung: Schlüssel sofort über die Admin-Oberfläche deaktivieren und einen neuen ausstellen.

Weiterführend