Authentifizierung
Authentifizierung der DPP-API, API-Schlüssel-Header, Fehlercodes und Sicherheitshinweise.
Die DPP-API verwendet API-Schlüssel-Authentifizierung über einen eigenen Anfrage-Header. Jeder API-Aufruf muss einen
gültigen API-Schlüssel im x-api-key-Header enthalten.
Endpunkt-Details, Beispielanfragen und „Try it out" findest du in der interaktiven
API-Referenz (Swagger). Diese Seite beschreibt das
Konzept und die Sicherheitsanforderungen, nicht die einzelnen Endpunkte.
Server
Alle API-Aufrufe gehen gegen:
https://my.digital-product-passport.cloud
Anfrage-Header
Jede Anfrage übergibt den API-Schlüssel im x-api-key-Header:
x-api-key: <API-KEY>
Content-Type: application/json
Beispiel mit cURL:
curl -X GET \
https://my.digital-product-passport.cloud/<endpoint> \
-H "x-api-key: <API-KEY>" \
-H "Content-Type: application/json"
API-Schlüssel werden über die Admin-Oberfläche unter Organization → API Keys erstellt und verwaltet.
Typische Fehlercodes
| HTTP Status | Bedeutung |
|---|---|
401 Unauthorized | Kein x-api-key gesetzt, Schlüssel ungültig, abgelaufen oder gesperrt |
403 Forbidden | API-Schlüssel hat nicht die erforderliche Rolle für den Endpunkt |
429 Too Many Requests | Rate Limit überschritten |
Die konkreten Antwort-Schemata pro Endpunkt findest du in der Swagger-Referenz.
Sicherheitshinweise
- Übertrage API-Schlüssel ausschließlich über HTTPS.
- Verwende API-Schlüssel nie im Frontend-Code oder in öffentlichen Repositories; sie sind serverseitige Zugangsdaten.
- Speichere Schlüssel in Umgebungsvariablen oder einem Secret Manager (z.B. Azure Key Vault, AWS Secrets Manager, HashiCorp Vault, 1Password Secrets).
- Pro Integration ein eigener Schlüssel – das erleichtert Rotation und Nachvollziehbarkeit.
- Bei Verdacht auf Kompromittierung: Schlüssel sofort über die Admin-Oberfläche deaktivieren und einen neuen ausstellen.
Weiterführend
- Organization → API Keys – Schlüssel anlegen, rotieren und löschen
- API-Referenz (Swagger) – alle Endpunkte, Parameter und Antwort-Schemata