Authentifizierung

Jede API-Anfrage übergibt ein Token im Header:

Authorization: Bearer <token>

Es gibt zwei Arten von Zugriff:

hotdoc API-Schlüssel

Für den programmatischen Zugriff auf die Dokumentenverarbeitung. Token-Format: hotdoc_<id>.<secret>. Wird im Dashboard erstellt; das vollständige Token wird einmal angezeigt, danach wird nur eine maskierte Version aufbewahrt (hotdoc_<id>). Ein Schlüssel hat ein optionales Ablaufdatum (expiresAt; ohne dieses läuft der Schlüssel nie ab) und einen Zeitstempel der letzten Nutzung (lastUsedAt); ein Schlüssel kann widerrufen werden.

Dashboard-Sitzungstoken (JWT)

Zum Verwalten Ihres Kontos, Ihrer Schlüssel und der Abrechnung über das Dashboard.

Die Verarbeitungsmethoden (/v1/jobs*) akzeptieren sowohl einen API-Schlüssel als auch ein JWT. Alle Verwaltungsmethoden (Konto, Schlüssel, Abrechnung) erfordern ein Dashboard-Sitzungstoken (JWT) — sie sind mit einem API-Schlüssel nicht verfügbar.

Schlüsselverwaltungs-Endpunkte

MethodeEndpunktZweck
GET/v1/account/api-keysSchlüssel auflisten (maskiert)
POST/v1/account/api-keysSchlüssel erstellen; das vollständige Token wird einmalig zurückgegeben
DELETE/v1/account/api-keys/{id}Schlüssel widerrufen

Schlüsselsicherheit

  • lege keine Schlüssel in clientseitigem Code oder in öffentlichen Repositories ab;
  • wenn ein Schlüssel durchsickert, widerrufe ihn sofort und erstelle einen neuen;
  • der Widerruf wird mit einer Verzögerung von bis zu 5 Minuten wirksam (serverseitiges Caching);
  • der Modell-Provider-Schlüssel (BYOK) ist ein separates Geheimnis; er wird niemals im Klartext gespeichert (nur verschlüsselt) und zusammen mit dem Job gelöscht.