API-Authentifizierung
Übersicht
Die öffentliche Uslimato-API verwendet API-Schlüssel-Authentifizierung. Jede Anfrage muss einen gültigen API-Schlüssel im Authorization-Header enthalten.
Authentifizierungs-Header
Authorization: Bearer usl_live_<ihr-api-schlüssel>
Beispiel:
curl https://api.uslimato.com/v1/assets \
-H "Authorization: Bearer usl_live_abc123..."
API-Schlüssel erhalten
API-Schlüssel werden im Entwicklerportal unter app.uslimato.com/developer erstellt. Sie benötigen die Rolle Admin, um Schlüssel zu erstellen.
Sicherheitshinweise
- Niemals API-Schlüssel in Client-seitigem Code (Browser, mobile Apps) exponieren
- Schlüssel in Umgebungsvariablen oder einem Secrets-Manager speichern
- Nur die minimal notwendigen Berechtigungen verwenden
- Für Einmal-Skripte ein Ablaufdatum setzen
- Schlüssel für langlebige Integrationen regelmäßig rotieren
- Ungenutzte oder kompromittierte Schlüssel sofort widerrufen
Fehlerantworten
Alle API-Fehler geben JSON mit einem error-Feld zurück:
{
"error": "Unauthorized",
"code": "UNAUTHORIZED"
}
| HTTP-Status | Code | Bedeutung |
|---|---|---|
401 | UNAUTHORIZED | Fehlender oder ungültiger API-Schlüssel |
403 | FORBIDDEN | Schlüssel hat nicht die benötigte Berechtigung |
404 | NOT_FOUND | Ressource nicht gefunden |
429 | RATE_LIMITED | Rate-Limit überschritten |
500 | INTERNAL_ERROR | Serverfehler — Support kontaktieren |
Rate-Limiting-Header
Jede Antwort enthält Rate-Limit-Informationen:
| Header | Beschreibung |
|---|---|
X-RateLimit-Limit | Maximale Anfragen pro Stunde |
X-RateLimit-Remaining | Verbleibende Anfragen im aktuellen Zeitfenster |
X-RateLimit-Reset | Unix-Zeitstempel für den Reset des Zeitfensters |