Bereichsgefilterte Tokens: Best Practices

Scoped-Tokens erlauben nur den notwendigen Zugriff und verringern das Risiko, falls Zugangsdaten kompromittiert werden.

Legen Sie spezifische Berechtigungen fest, was jeder Token mit bestimmten APIs tun darf.

Optimieren Sie die Token-Überwachung, insbesondere bei Zusammenarbeit mit mehreren Teams oder externen Partnern.

Gewinnen Sie Einblick in die Token-Nutzung, um API-Verkehr besser zu verstehen und Rate-Limits effektiv zu verwalten.

Erstellen, verwalten und widerrufen Sie Tokens einfach, ohne andere Integrationen zu stören.

Definieren Sie Scopes, indem Sie nur die spezifischen APIs und HTTP-Methoden wie GET, POST, PUT, DELETE auswählen, die Ihre Integration tatsächlich benötigt. Wenn Ihre Integration nur Daten abrufen muss, gewähren Sie der API nur Zugriff mit der GET-Methode.

Beginnen Sie immer mit dem minimal erforderlichen Zugriffslevel und fügen Sie nur dann weitere Berechtigungen hinzu, wenn es absolut notwendig ist. Vermeiden Sie das Aktivieren von POST-, PUT- oder DELETE-Methoden, es sei denn, Ihre Integration benötigt sie ausdrücklich.

Geben Sie jedem Token einen klaren, aussagekräftigen Namen und fügen Sie eine detaillierte Beschreibung hinzu. Dies hilft Ihrem Team, die Token-Nutzung effektiver zu verwalten, zu verstehen und zu prüfen.

Stellen Sie sicher, dass jedes Token einen benannten technischen Ansprechpartner hat. Diese Person ist verantwortlich für das Empfangen wichtiger Updates, Warnungen oder Benachrichtigungen im Zusammenhang mit API-Zugriff und Integrationsleistung.

Stellen Sie sicher, dass der Token mit der Version der API übereinstimmt, die Ihre Integration verwendet. Dies hilft, die Kompatibilität zu erhalten und unerwartete Fehler zu vermeiden.

Machen Sie es sich zur Gewohnheit, zu überprüfen, wie Ihre Tokens genutzt werden. Sie können ein Dashboard einrichten, um die Token-Aktivität zu verfolgen, oder impact.com nach Nutzungsdetails fragen. Achten Sie außerdem auf häufige Fehler in Ihrer Integration.

Tokens mit mehr Berechtigungen als nötig können gefährlich sein, wenn sie jemals offengelegt werden. Vergleichen Sie, was ein Token darf, mit dem, was es tatsächlich tut. Wenn es Zugriff hat, den es nicht benötigt, entfernen Sie ihn.

Ändern Sie Token-Zugangsdaten regelmäßig, um Ihr System sicher zu halten. Versuchen Sie, Ihre Tokens alle paar Monate zu aktualisieren—vierteljährlich ist eine gute Richtlinie. Wenn Sie einen neuen Token erstellen, stellen Sie sicher, dass Sie Ihre Integrationen aktualisieren, damit sie den neuen verwenden.

Geben Sie jedem Token einen Namen und eine Beschreibung, die erklären, wofür der Token gedacht ist und wer ihn besitzt. Fügen Sie Details wie die verwendete App oder das System, den Zweck und ob es sich um Test- oder Live-Nutzung handelt hinzu. Ordnen Sie außerdem eine Person in Ihrem Team als Hauptansprechpartner für jeden Token zu für den Fall von Problemen.

Alte oder ungenutzte Tokens können Sicherheitsrisiken darstellen. Planen Sie regelmäßige Aufräumaktionen—einmal im Monat oder pro Quartal—um alle Tokens durchzugehen. Löschen oder deaktivieren Sie Tokens, die nicht mehr benötigt werden.

Nein. Bestehende Integrationen, die Legacy-Tokens verwenden, funktionieren weiterhin. Wir empfehlen jedoch, auf Scoped-API-Zugriffstokens umzusteigen, um Sicherheit und Verwaltung zu verbessern.

Legacy-Tokens sind eine ältere Art von Zugriffstoken, die vor Scoped-Tokensverfügbar waren. Scoped-Tokens wurden auf impact.com nach Mai 2025 eingeführt.

Jedes Konto kann bis zu 20 aktive Scoped-Tokens haben. Tokens können bei Bedarf deaktiviert oder gelöscht werden.

Deaktivierte Tokens werden den Zugriff verweigert und geben eine 403 „Access Denied“-Antwort zurück. Dies ermöglicht eine vorübergehende Suspendierung ohne Löschen des Tokens.

Wenn Sie eine Anfrage an eine API ohne ein gültiges Scoped-Access-Token stellen, erhalten Sie eine 403 „Access Denied“-Antwort.

Nein, die Löschfunktion löscht das Zugriffstoken und alle zugewiesenen Berechtigungen dauerhaft. Wenn Sie das Token versehentlich gelöscht haben, können Sie ein neues Token erstellen und die Scopes neu auswählen. Bestehende Integrationen müssen aktualisiert werden, damit sie die neuen Zugangsdaten des Tokens verwenden.