Content-Verification-Service jetzt verfügbar! Buchen Sie Ihre 30-minütige Demo hier.

Getting Started und Authentifizierung: wie man einen API-Key ausstellt und den ersten Call macht

19. Januar 2026·
Karina
Getting Started und Authentifizierung: wie man einen API-Key ausstellt und den ersten Call macht

Wege zur Authentifizierung

Die Crowdee-API unterstützt mehrere Wege der Authentifizierung, und welcher davon der richtige ist, hängt davon ab, was du baust.

Schreibst du ein Skript, eine CI-Pipeline oder eine Backend-Integration, ist ein API-Key das richtige Werkzeug: ein langlebiges Credential, das du einmal erzeugst, deinen Anfragen mitgibst und jederzeit widerrufen kannst. Baust du dagegen etwas, das hinter der Browser-Session eines Nutzers läuft — etwa einen Dienst, der bereits Teil unseres normalen Anmeldevorgangs ist — eignet sich ein sitzungs- oder tokenbasierter Ansatz, der an diesen Login gekoppelt ist, meist besser, da er Identität und Berechtigungen des Nutzers automatisch übernimmt, statt ein separat verwaltetes Secret zu erfordern.

Für die meisten Entwickler:innen, die zum ersten Mal mit Crowdee integrieren, ist der API-Key-Pfad der einfachste Einstieg. Er erfordert keinen Login-Flow, keine Session-Verwaltung und keine Token-Refresh-Logik — du erzeugst ihn einmal und nutzt ihn, bis du ihn rotieren oder widerrufen möchtest.

Eine Handvoll rein lesender Endpunkte (etwa unsere API-Dokumentation und grundlegende Discovery-Routen) sind öffentlich zugänglich, ganz ohne Authentifizierung. Alles andere erfordert eine der oben genannten Methoden.

Einen API-Key erhalten

API-Keys werden über die Plattform-UI ausgestellt. Nach dem Einloggen navigierst du zu Einstellungen → API-Keys und klickst auf Erstellen. Gib dem Key einen beschreibenden Namen — etwa ci-pipeline oder local-dev — und wähle die gewünschte Rolle. Die tatsächlichen Berechtigungen des Keys sind immer durch deine eigene Mitgliedsrolle in der aktiven Organisation begrenzt; ein Key kann dir also nie mehr erlauben, als du selbst bereits darfst.

Nach der Bestätigung zeigt die Plattform den vollständigen Key-Wert genau einmal an. Kopiere ihn sofort an einen sicheren Ort — wir speichern den Klartextwert nicht, wenn du ihn verlierst, musst du ihn widerrufen und einen neuen erstellen.

Keys können optional auf bestimmte Organisationen beschränkt werden. Wenn du eine Integration baust, die ausschließlich die Daten einer Organisation berühren soll, ist das Setzen dieses Scopes bei der Erstellung eine sinnvolle Sicherheitsmaßnahme — Anfragen außerhalb dieses Scopes werden abgelehnt.

Den Key sicher verwahren

Ein API-Key ist ein Credential und sollte auch so behandelt werden:

  • Niemals in die Versionskontrolle committen. Lade ihn aus einer Umgebungsvariable oder einem Secrets-Manager, nicht aus einer eingecheckten Konfigurationsdatei.
  • Eng scopen. Gib einem Key nur die Rolle und den Organisationszugriff, den die Integration tatsächlich braucht, statt standardmäßig die weitestmögliche Option zu wählen.
  • Einen Key pro Integration verwenden. Teilen sich eine CI-Pipeline, ein Serverprozess und ein lokales Dev-Skript denselben Key, kannst du den Zugriff für einen davon nicht widerrufen, ohne die anderen zu beeinträchtigen.
  • Keys regelmäßig rotieren und ablaufen lassen. Behandle alte, ungenutzte Keys als Risiko — widerrufe alles, was nicht mehr aktiv verwendet wird.

Sollte ein Key jemals offengelegt werden — etwa versehentlich in ein öffentliches Repository gepusht oder an einer Stelle geloggt, an der er nicht hingehört — widerrufe ihn sofort unter Einstellungen → API-Keys und stelle einen Ersatz aus.

Rate-Limits

Anfragen werden limitiert, um die Plattform stabil und für alle Nutzer:innen und Integrationen fair zu halten. Anonyme Anfragen ohne API-Key unterliegen einem spürbar strengeren Limit als authentifizierte Anfragen — ein weiterer guter Grund, sich auch für einfache, unkritische Integrationen zu authentifizieren.

Wenn du ein Limit erreichst, macht die API das deutlich; die übliche Vorgehensweise ist, kurz zu warten und es dann erneut zu versuchen, statt sofort in einer Schleife nachzufragen. Für Massenoperationen — das Verarbeiten vieler Dateien oder das wiederholte Abfragen von Ergebnissen — empfehlen wir, Anfragen zu bündeln und zeitlich zu strecken, statt sie so schnell wie möglich abzusetzen.

Falls dein Anwendungsfall einen höheren Dauerdurchsatz erfordert, nimm Kontakt mit uns auf — Produktions-Workloads mit einer nachvollziehbaren Begründung können wir entsprechend berücksichtigen.

Nächste Schritte

Sobald die Authentifizierung funktioniert, ist der nächste logische Schritt, zu erkunden, was die API für deinen Anwendungsfall leisten kann — vom Ausführen von Verifikationspipelines bis zur Verwaltung von Projekten und Datensätzen. Statt diese Referenz hier zu duplizieren, findest du unter docs.crowdee.ai die vollständige, stets aktuelle Integrationsanleitung inklusive konkreter Endpunkte, Request- und Response-Formate und Beispielen für jede Authentifizierungsmethode.