Scoped Tokens: Best Practices
impact.com ermöglicht es Ihnen, eingeschränkte Tokens: API-Anmeldedaten mit fein abgestuften Berechtigungen zu erstellen, die Zugriff auf bestimmte API-Endpunkte gewähren. Erfahren Sie mehr über die sichere Aufbewahrung Ihrer Tokens.
Vorteile eingeschränkter Tokens
Höhere Sicherheit
Eingeschränkte Tokens erlauben nur den Zugriff auf das, was benötigt wird, und verringern so das Risiko, falls Anmeldedaten kompromittiert werden.
Bessere Zugriffskontrolle
Legen Sie spezifische Berechtigungen dafür fest, was jedes Token mit bestimmten APIs tun kann.
Verwaltung vereinfachen
Optimieren Sie die Token-Überwachung, insbesondere bei der Zusammenarbeit mit mehreren Teams oder externen Partnern.
Aufschlussreiche Überwachung
Gewinnen Sie Einblick in die Token-Nutzung, um den API-Traffic besser zu verstehen und Ratenlimits effektiv zu verwalten.
Verbessertes Token-Management
Erstellen, verwalten und widerrufen Sie Tokens ganz einfach, ohne andere Integrationen zu beeinträchtigen.
Best Practices für das Erstellen eingeschränkter Tokens
Befolgen Sie diese Best Practices, um bei der Erstellung eingeschränkter Tokens Sicherheit, Klarheit und effektives Management zu gewährleisten:
Wählen Sie nur die APIs und Methoden aus, die Sie benötigen
Definieren Sie Scopes, indem Sie nur die spezifischen APIs und HTTP-Methoden wie GET, POST, PUT und DELETE auswählen, die Ihre Integration tatsächlich benötigt. Wenn Ihre Integration nur Daten abrufen muss, gewähren Sie Zugriff auf die API nur mit der GET-Methode.
Wenden Sie das Prinzip der geringsten Berechtigung an
Beginnen Sie immer mit dem minimal erforderlichen Zugriff und fügen Sie nur dann weitere Berechtigungen hinzu, wenn dies unbedingt nötig ist. Vermeiden Sie die Aktivierung von POST-, PUT- oder DELETE-Methoden, es sei denn, Ihre Integration erfordert sie ausdrücklich.
Verwenden Sie beschreibende Namen und Erklärungen
Geben Sie jedem Token einen klaren, aussagekräftigen Namen und fügen Sie eine detaillierte Beschreibung hinzu. Dies hilft Ihrem Team dabei, die Token-Nutzung effektiver zu verwalten, zu verstehen und zu prüfen.
Benennen Sie einen verantwortlichen technischen Ansprechpartner
Stellen Sie sicher, dass jedem Token ein technischer Ansprechpartner zugewiesen ist. Diese Person ist für den Empfang wichtiger Updates, Warnungen oder Benachrichtigungen im Zusammenhang mit API-Zugriff und Integrationsleistung verantwortlich.
Wählen Sie die richtige API-Version
Stellen Sie sicher, dass das Token auf die Version der API abgestimmt ist, für die Ihre Integration entwickelt wurde. Dies trägt zur Kompatibilität bei und verhindert unerwartete Fehler.
Überwachen und verwalten Sie eingeschränkte Tokens
Überprüfen Sie die Token-Nutzung regelmäßig
Gewöhnen Sie sich daran, zu prüfen, wie Ihre Tokens verwendet werden. Dies können Sie tun, indem Sie ein Dashboard einrichten, um die Token-Aktivität zu verfolgen, oder indem Sie impact.com nach Nutzungsdetails fragen. Achten Sie außerdem auf häufige Fehler in Ihrer Integration.
Vermeiden Sie zu weitreichenden Zugriff
Tokens mit mehr Berechtigungen als nötig können gefährlich sein, wenn sie jemals offengelegt werden. Um dies zu verhindern, vergleichen Sie, was ein Token tun darf, mit dem, was es tatsächlich tut. Wenn es Zugriff hat, den es nicht benötigt, entfernen Sie ihn.
Rotieren Sie Tokens häufig
Ändern Sie die Token-Anmeldedaten regelmäßig, um Ihr System sicher zu halten. Versuchen Sie, Ihre Tokens alle paar Monate zu aktualisieren – einmal pro Quartal ist eine gute Faustregel. Wenn Sie ein neues Token erstellen, stellen Sie sicher, dass Sie Ihre Integrationen so aktualisieren, dass sie das neue Token verwenden.
Verwenden Sie klare Namen und Beschreibungen
Geben Sie jedem Token einen Namen und eine Beschreibung, die erklärt, wofür das Token gedacht ist und wem es gehört. Fügen Sie Details wie die App oder das System hinzu, das es verwendet, seinen Zweck und ob es für Tests oder den Live-Betrieb gedacht ist. Benennen Sie außerdem eine Person in Ihrem Team als Hauptansprechpartner für jedes Token für den Fall von Problemen.
Entfernen Sie Tokens, die Sie nicht verwenden
Alte oder ungenutzte Tokens können Sicherheitsrisiken verursachen. Planen Sie regelmäßige Bereinigungen – einmal im Monat oder Quartal –, um alle Tokens zu überprüfen. Löschen oder deaktivieren Sie alle Tokens, die nicht mehr benötigt werden.
Häufig gestellte Fragen
Werden bestehende Integrationen beeinträchtigt?
Nein. Bestehende Integrationen, die Legacy-Tokens verwenden, funktionieren weiterhin. Wir empfehlen jedoch den Umstieg auf eingeschränkte API-Zugriffstokens für verbesserte Sicherheit und Verwaltung.
Was sind Legacy-Tokens?
Legacy-Tokens sind ein älterer Typ von Zugriffstoken, der eingeschränkte Tokensvorausging. Eingeschränkte Tokens sind auf impact.com seit Mai 2025 verfügbar.
Was sind Best Practices, um Tokens sicher aufzubewahren?
Erfahren Sie mehr über die sichere Aufbewahrung Ihrer Zugriffstokens.
Wie viele eingeschränkte Tokens kann ich erstellen?
Jedes Konto kann bis zu 20 aktive eingeschränkte Tokens haben. Tokens können bei Bedarf deaktiviert oder gelöscht werden.
Was passiert, wenn ein Token deaktiviert wird?
Deaktivierten Tokens wird der Zugriff verweigert, und es wird eine 403-Antwort „Zugriff verweigert“ zurückgegeben. Dies ermöglicht eine vorübergehende Sperrung, ohne das Token zu löschen.
Kann ein gelöschtes Token wiederhergestellt werden?
Nein, die Löschfunktion entfernt das Zugriffstoken und alle zugewiesenen Berechtigungen dauerhaft. Wenn Sie das Token versehentlich gelöscht haben, können Sie ein neues Token erstellen und die Scopes auswählen. Bestehende Integrationen müssen aktualisiert werden, um die Anmeldedaten des neuen Zugriffstokens zu verwenden.
Kann ein eingeschränktes Token einer Ratenbegrenzung unterliegen?
Ja, eingeschränkte Zugriffstokens sind Teil des bereits vorhandenen Ratenlimitings auf Kontoebene.
Zuletzt aktualisiert
War das hilfreich?