API-Keys können nur von Nutzern mit der Rolle Admin erstellt werden. Die API ist ab dem Standard-Tarif verfügbar — im Compact-Tarif ist der API-Zugang nicht freigeschaltet.
Der generierte Key wird einmalig im Klartext angezeigt. Kopiere ihn sofort und speichere ihn sicher (zum Beispiel in einem Passwort-Manager). Nach dem Schließen des Dialogs kann der Key nicht mehr eingesehen werden — nur der Name und die letzten vier Zeichen bleiben sichtbar.
Sende den API-Key als Bearer-Token im Authorization-Header:
GET /api/v1/credentials HTTP/1.1
Host: api.reosa.de
Authorization: Bearer <dein-api-key>
Content-Type: application/jsonErsetze <dein-api-key> durch den vollständigen Key-String. Verwende ausschließlich HTTPS — Anfragen über HTTP werden abgelehnt.
| Tarif | Anfragen pro Minute | Anfragen pro Tag |
|---|---|---|
| Standard | 60 | 5.000 |
| Max | 300 | 50.000 |
Bei Überschreitung des Limits antwortet die API mit dem HTTP-Status 429 Too Many Requests. Der Retry-After-Header enthält die Anzahl der Sekunden bis zum nächsten erlaubten Request.
Rotieren — Wenn du den Verdacht hast, dass ein Key kompromittiert wurde, erstelle sofort einen neuen Key und widerrufe den alten. Zwischen den beiden Schritten gibt es ein kurzes Zeitfenster, in dem beide Keys aktiv sind — so kannst du Integrationen ohne Ausfallzeit umstellen.
Widerrufen — Klicke in der Key-Liste auf die Drei-Punkte-Schaltfläche neben dem Key und wähle Key widerrufen. Der Key ist danach sofort ungültig. Anfragen mit dem widerrufenen Key erhalten den HTTP-Status 401 Unauthorized.