Zum Hauptinhalt gehen

Sicherheit & HTTPS

Svenja Jacobs
Aktualisiert

Arbeite immer über HTTPS – so stellst du sicher, dass deine Daten und dein API-Schlüssel nicht in falsche Hände geraten.

 

Warum ist HTTPS so wichtig?

Wenn du Anfragen an die Billomat API schickst, überträgst du dabei immer auch deinen persönlichen API-Schlüssel – das Passwort für den Zugriff auf deinen Account. Ohne Verschlüsselung wird dieser Schlüssel im Klartext übertragen und könnte theoretisch von Dritten mitgelesen werden.

HTTPS verschlüsselt die gesamte Kommunikation zwischen deiner Anwendung und Billomat – so wie dein Browser die Verbindung zu einer Banking-Website absichert.

Wichtig: Nutze für alle API-Anfragen ausschließlich HTTPS. Anfragen über unverschlüsseltes HTTP sind zwar technisch möglich, aber ein erhebliches Sicherheitsrisiko – besonders in öffentlichen Netzwerken.

 

Wie aktiviere ich HTTPS?

Du musst nichts gesondert einrichten. Es reicht, die URL deiner API-Anfragen mit https:// statt http:// zu beginnen.

Unsicher (nicht empfohlen):

http://meinefirma.billomat.net/api/invoices

 

Sicher (empfohlen):

https://meinefirma.billomat.net/api/invoices

 

Beispiel-Request mit HTTPS und curl

So sieht eine sichere API-Anfrage in der Praxis aus – hier werden alle Kunden deines Accounts abgerufen:

curl -H 'X-BillomatApiKey: {dein-api-schluessel}' \
  https://{deineBillomatID}.billomat.net/api/clients

Tipp für Einsteiger:
curl ist ein Kommandozeilen-Tool, mit dem du HTTP-Anfragen direkt aus dem Terminal heraus abschicken kannst – praktisch zum schnellen Testen. Unter macOS und Linux ist es vorinstalliert, unter Windows ab Version 10 ebenfalls verfügbar. Alternativ kannst du auch grafische Tools wie Postman oder Insomnia verwenden. Mehr dazu im Artikel Tools & Testing.

 

Schütze deinen API-Schlüssel

Dein API-Schlüssel ist wie ein Passwort – wer ihn kennt, hat vollen Zugriff auf deinen Billomat-Account über die API. Beachte daher folgende Grundregeln:

  • Nie in öffentlichen Repositories speichern – also nicht in GitHub, GitLab o.ä., wo andere Personen den Code einsehen können.
  • Nie in URLs als GET-Parameter weitergeben, wenn vermeidbar – URLs werden häufig in Logs gespeichert. Verwende stattdessen den HTTP-Header (mehr dazu im Artikel Authentifizierung).
  • Schlüssel regelmäßig erneuern – besonders wenn du vermutest, dass er in falsche Hände geraten ist. Das geht unter Einstellungen > Mitarbeiter.
  • Pro Anwendung einen eigenen Benutzer anlegen – so kannst du den Zugriff für einzelne Integrationen gezielt deaktivieren, ohne andere zu beeinträchtigen.

Tipp: Speichere API-Schlüssel in deiner Anwendung als Umgebungsvariablen (englisch: environment variables), nicht direkt im Quellcode. So sind sie beim Deployment automatisch verfügbar, ohne jemals im Code zu erscheinen.

 

Nächste Schritte

Im nächsten Artikel erfährst du, wie du deinen API-Schlüssel generierst und bei jeder Anfrage korrekt mitschickst:

 

Verknüpfung mit

Kommentare

0 Kommentare

Zu diesem Beitrag können keine Kommentare hinterlassen werden.