Authentifizierung
Jede API-Anfrage übergibt ein Token im Header:
Authorization: Bearer <token>
Es gibt zwei Arten von Zugriff:
hotdoc API-Schlüssel
Für den programmatischen Zugriff auf die Dokumentenverarbeitung. Token-Format: hotdoc_<id>.<secret>. Wird im Dashboard erstellt; das vollständige Token wird einmal angezeigt, danach wird nur eine maskierte Version aufbewahrt (hotdoc_<id>). Ein Schlüssel hat ein optionales Ablaufdatum (expiresAt; ohne dieses läuft der Schlüssel nie ab) und einen Zeitstempel der letzten Nutzung (lastUsedAt); ein Schlüssel kann widerrufen werden.
Dashboard-Sitzungstoken (JWT)
Zum Verwalten Ihres Kontos, Ihrer Schlüssel und der Abrechnung über das Dashboard.
Die Verarbeitungsmethoden (/v1/jobs*) akzeptieren sowohl einen API-Schlüssel als auch ein JWT. Alle Verwaltungsmethoden (Konto, Schlüssel, Abrechnung) erfordern ein Dashboard-Sitzungstoken (JWT) — sie sind mit einem API-Schlüssel nicht verfügbar.
Schlüsselverwaltungs-Endpunkte
| Methode | Endpunkt | Zweck |
|---|---|---|
GET | /v1/account/api-keys | Schlüssel auflisten (maskiert) |
POST | /v1/account/api-keys | Schlüssel erstellen; das vollständige Token wird einmalig zurückgegeben |
DELETE | /v1/account/api-keys/{id} | Schlüssel widerrufen |
Schlüsselsicherheit
- lege keine Schlüssel in clientseitigem Code oder in öffentlichen Repositories ab;
- wenn ein Schlüssel durchsickert, widerrufe ihn sofort und erstelle einen neuen;
- der Widerruf wird mit einer Verzögerung von bis zu 5 Minuten wirksam (serverseitiges Caching);
- der Modell-Provider-Schlüssel (BYOK) ist ein separates Geheimnis; er wird niemals im Klartext gespeichert (nur verschlüsselt) und zusammen mit dem Job gelöscht.