API Keys

Erstellung, Verwaltung und Best Practices für API-Zugriffsschlüssel der DPP-Plattform.

Unter API Keys erstellst und verwaltest du Zugriffsschlüssel für die REST-API der DPP-Plattform. Diese Seite ist die zentrale Anlaufstelle für alles rund um API Keys – sowohl die UI-Bedienung als auch die Verwendung im HTTP-Request.

Erreichbar unter Organization → API Keys (/admin/settings/api-keys). Die Endpoint-Details für die Verwendung findest du in der API-Referenz (Swagger).

API-Keys-Seite mit Erstellungsformular sowie Listen für Active und Inactive API Keys

Neuen API Key erstellen

Navigiere zu Organization → API Keys (/admin/settings/api-keys).
Trage im Erstellungsformular die folgenden Felder ein:

Feld	Pflicht	Beschreibung
Name	Ja	Beschreibender Name für den Key (z.B. „CI/CD", „ERP-Integration")
Role	Ja	Zugriffsrolle: `MEMBER` oder `OWNER`
Expires at	Nein	Optionales Ablaufdatum

Klicke auf „Generate Key" um den Schlüssel zu erstellen.

Der vollständige API Key wird nur einmal beim Erstellen angezeigt. Kopiere ihn sofort und bewahre ihn sicher auf (z.B. im Secret Manager). Er kann nicht erneut abgerufen werden.

Rollen & Berechtigungen

Rolle	Lesen	Schreiben	Organisationseinstellungen
`MEMBER`	✓	✓	–
`OWNER`	✓	✓	✓

Welche Endpoints mit welcher Rolle erreichbar sind, ist in der Swagger-Referenz pro Endpoint dokumentiert.

Active API Keys

Aktive API Keys werden als Liste angezeigt mit:

Feld	Beschreibung
Name	Der vergebene Name
ID	Eindeutige Key-ID
Preview	Erste Zeichen des Keys (maskiert)
Created	Erstellungsdatum
Last used	Zeitpunkt der letzten Nutzung
Status	`Active` Badge
Role	Zugewiesene Rolle

Über das Drei-Punkte-Menü (⋮) kann ein Key deaktiviert oder gelöscht werden.

Inactive API Keys

Deaktivierte Keys werden im Abschnitt „Inactive API Keys" angezeigt und akzeptieren keine API-Aufrufe mehr. Gelöschte Keys verschwinden vollständig aus der Liste.

Verwendung im Request

API Keys werden im x-api-key-Header von HTTP-Requests übergeben. Alle Aufrufe gehen gegen:

https://my.digital-product-passport.cloud

Beispiel:

x-api-key: <API-KEY>
Content-Type: application/json

Weitere Details zum Authentifizierungs-Konzept, Fehlercodes und Sicherheitshinweisen findest du unter Authentication.

Best Practices

Separate Keys pro Integration – verwende für jede Anwendung einen eigenen Key.
Minimale Berechtigung – vergib nur die notwendige Rolle (MEMBER statt OWNER, wenn möglich).
Ablaufdatum setzen – speziell für temporäre Integrationen oder externe Dienstleister.
Keys regelmäßig rotieren – neuen Key erstellen, Integration umstellen, alten Key deaktivieren.
Niemals im Quellcode – Keys gehören in Umgebungsvariablen oder einen Secret Manager, nicht in Repositories oder Frontend-Bundles.
Bei Verdacht auf Kompromittierung – betroffenen Key sofort deaktivieren und einen neuen ausstellen.

Members

Mitgliederverwaltung – Einladungen, Rollen und Zugriffsrechte.

Domain & Slug

Konfiguration der Frontend-URL, Custom Domain und des Organisation-Slugs.