Permanentes API-Token erklärt

Jedes Mal, wenn Sie eine Anfrage an die API stellen, wird ein spezieller Zugriffscode — ein Zugriffstoken — verwendet. Dieses Token wird benötigt, um sicherzustellen, dass der Client das Recht hat, sich am Konto anzumelden und bestimmte Handlungen durchzuführen.

JSON Web Token

Der Zugriff auf die Gcore API erfolgt auf Basis des JSON Web Token (JWT).

Dieses besteht aus drei Teilen:

1. Header. Enthält Informationen über den Token-Typ und den verwendete digitale Verschlüsselungsmethode.
2. Payload. Daten, die mit Hilfe des Tokens übertragen werden: Zweck, Gültigkeitsdauer, Erstellungsdatum, etc.
3. Signatur. Wird anhand des Headers und des Payloads kompiliert.

So funktioniert das JSON Web Token

1. Der Client meldet sich am System an.
2. Gcore API generiert ein Token und sendet es an den Client.
3. Bei jeder weiteren Anfrage gibt der Client das Token weiter.
4. Die API berechnet und verifiziert die Signatur.
5. Wenn die Signatur gültig ist, beantwortet die API die Anfrage des Clients.

Einschränkungen des JSON Web Tokens

Der Zugangstoken ist 1 Stunde lang gültig. Um ein neues zu erstellen, wird ein Refresh Token verwendet. Mit diesem können Benutzer ein neues Zugriffstoken anfordern. In diesem Fall müssen Login und Passwort nicht erneut eingegeben werden.

Das Refresh Token hat ebenso eine begrenzte Gültigkeit von 24 Stunden. Das bedeutet, dass unsere Benutzer alle 24 Stunden ihr Login und Passwort eingeben müssen, was nicht zu oft der Fall ist. Dieses System eignet sich zwar bestens für einmalige Anfragen, aber für die automatisierte Arbeit mit unseren Diensten, die eine API verwenden, führt das zu gewissen Problemen.

Um zum Beispiel eine automatische Cache-Löschung einzurichten, muss zusätzlich die Autorisierungslogik festgelegt werden und der Client jedes Mal Login und Passwort erhalten. Das ist unpraktisch und beeinträchtigt die Sicherheit.

Um regelmäßige automatisierte Anfragen an Dienste via API zu ermöglichen, stellen wir permanente API-Tokens aus.

Wie ein permanentes API-Token funktioniert

Der Hauptvorteil eines permanenten API-Tokens ist, dass Sie die Gültigkeitsdauer selbst festlegen können, wenn Sie das Token erstellen. Das Token kann sogar für einen unbegrenzten Zeitraum ausgestellt werden. Das macht die Kommunikation via API einfacher: Sie müssen keine zusätzliche Logik für die automatische Ausgabe eines Tokens festlegen und verwalten und nicht jedes Mal Login und Passwort versenden.

Ein permanentes API-Token ist eine zufällige Zeichenfolge. Gcore API speichert den Hash und die Besitzerinformationen dieser Zeichenfolge.

1. Der Client sendet eine mit einem permanenten Token signierte Anfrage ein.
2. Die API überprüft die Gültigkeit des Tokens, das Vorhandensein des Hashes in der Datenbank und den Client, dem das Token entspricht.
3. Wenn alles authentifiziert ist, nimmt die API die Anfrage an.

Welche Gcore Services können permanente Token verwenden?

Derzeit können Sie Ihr permanentes API-Token lediglich im CDN verwenden. So können Sie regelmäßig ausgeführte Prozesse automatisieren, z.B. das Löschen des Cache oder das Abrufen von Statistiken.

In Zukunft planen wir, die Verwendung dieser Token zu erweitern, um die Arbeit mit unseren anderen Produkten noch bequemer zu machen.

So erhalten Sie ein festes API-Token

1. Melden Sie sich mit Ihrem Konto an.

2. Gehen Sie zum Abschnitt „API tokens“ in Ihrem Profil und klicken Sie auf „Create token“.

3. Geben Sie dabei unbedingt den Namen und die Rolle des Erstellers des Tokens an. Legen Sie bei Bedarf den Gültigkeitszeitraum des Tokens fest. Klicken Sie auf „Create“.

4. In einem neuen Fenster sehen Sie das neue Token. Achten Sie darauf, dass Sie das Token abspeichern! Wir speichern Token nicht ab, daher ist es nicht möglich, sie ein zweites Mal anzuzeigen.

Nutzen Sie die adaptiven Einstellungen des Gcore CDN für eine bequemere und sichere Bereitstellung von Inhalten.

Registrieren Sie sich kostenlos für das CDN