# API-Schlüssel Verwenden Sie API-Schlüssel, um API-Anfragen zu authentifizieren. Stripe authentifiziert Ihre API-Anfragen mithilfe der API-Schlüssel Ihres Kontos. Wenn eine Anfrage keinen gültigen Schlüssel enthält, gibt Stripe einen [Fehler aufgrund einer ungültigen Anfrage](https://docs.stripe.com/error-handling.md#invalid-request-errors) zurück. Wenn eine Anfrage einen gelöschten oder abgelaufenen Schlüssel enthält, gibt Stripe einen [Authentifizierungsfehler](https://docs.stripe.com/error-handling.md#authentication-errors) zurück. Verwenden Sie das [Entwickler-Dashboard](https://dashboard.stripe.com/test/apikeys), um API-Schlüssel zu erstellen, offenzulegen, zu löschen und zu rotieren. Sie können auf Ihre v1 API-Schlüssel über die Registerkarte [API-Schlüssel](https://dashboard.stripe.com/test/apikeys) zugreifen. > #### Wenn Sie neu bei Stripe sind > > - **Sorgen Sie für die Sicherheit Ihres Unternehmens:** Lesen Sie unsere [Best Practices](https://docs.stripe.com/keys-best-practices.md) für die Schlüsselverwaltung. - **Erstellen und testen**: Verwenden Sie Ihre *Sandbox-Schlüssel (Test-Modus)*. Sandbox-Schlüssel beginnen mit `pk_test_` (veröffentlichbar), `rk_test_` (eingeschränkt) und `sk_test_` (geheim). Mit ihnen können Sie Tests durchführen, ohne Live-Daten zu beeinträchtigen. - \** Wenn Sie bereit sind, echte Zahlungen zu akzeptieren**: Wechseln Sie zu Ihren **Live-Modus-Schlüsseln**, die mit `pk_live_`, `rk_live_` und `sk_live_` beginnen. Anweisungen finden Sie unter [Zum Live-Modus wechseln](https://docs.stripe.com/keys.md#switch-to-live-mode). - **Wenn Sie ein Webhook-Signaturgeheimnis benötigen**: Webhook-Geheimnisse sind von API-Schlüsseln getrennt. Sie finden sie im Dashboard im Abschnitt [Webhooks](https://dashboard.stripe.com/webhooks) unter jedem Webhook-Endpoint. ## Schlüsseltypen Stripe unterstützt verschiedene Arten von API-Schlüsseln für unterschiedliche Anwendungsfälle. Sie sind dafür verantwortlich, diese Schlüssel sicher zu verwalten. Insbesondere müssen Sie Geheimschlüssel und [eingeschränkte API-Schlüssel](https://docs.stripe.com/keys/restricted-api-keys.md) (RAKs) als sensibel behandeln und dürfen sie nicht außerhalb Ihrer Serverumgebung offenlegen. Um die Sicherheit Ihres Unternehmens zu gewährleisten, lesen Sie die [Best Practices für die Verwaltung von API-Geheimschlüsseln](https://docs.stripe.com/keys-best-practices.md) und machen Sie sich damit vertraut. Entwickeln und [testen](https://docs.stripe.com/testing.md) Sie Ihre Anwendung mit Sandbox-Schlüsseln und nicht mit Live-Modus-Schlüsseln. So stellen Sie sicher, dass es nicht zu versehentlichen Änderungen Ihrer Live-Kundschaft oder -Gebühren kommt. | Typ | Bedenkenlos bereitstellbar | Standardmäßig generiert | Beschreibung | | -------------------------------------------------------- | -------------------------- | ----------------------- | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | Sandbox-Geheimschlüssel`sk_test_` | Nein | Ja | Bitte authentifizieren Sie Anfragen auf Ihrem Server, wenn Sie Tests in einer Sandbox durchführen. Standardmäßig können Sie diesen Schlüssel verwenden, um alle API-Anfragen ohne Einschränkungen durchzuführen. | | Eingeschränkter Sandbox-API-Schlüssel (RAK)`rk_test_` | Nein | Nein | Wie ein Geheimschlüssel, aber mit Stripe-API-Berechtigungen, die Sie kontrollieren. Sie können unterschiedliche RAKs in verschiedenen Teilen Ihres Codes verwenden, um Berechtigungen präzise an App-Komponenten anzupassen. Verwenden Sie einen Sandbox-RAK, um die Berechtigungen Ihrer Stripe-API zu optimieren, bevor Sie Live-Modus-RAKs erstellen. | | Veröffentlichbarer Sandbox-Schlüssel`pk_test_` | Ja | Ja | Testen Sie Anfragen im clientseitigen Code Ihrer Web- oder mobilen App. | | Live-Modus-Geheimschlüssel`sk_live_` | Nein | Ja | Bitte authentifizieren Sie Anfragen auf Ihrem Server im Live-Modus. Standardmäßig können Sie diesen Schlüssel verwenden, um alle API-Anfragen ohne Einschränkungen durchzuführen. | | Eingeschränkter Live-Modus-API-Schlüssel (RAK)`rk_live_` | Nein | Nein | Weisen Sie nutzerdefinierte Berechtigungen serverseitigen Komponenten zu, damit jeder Teil Ihrer App genau die benötigten Stripe-API-Berechtigungen bekommt. Die Verwendung eines RAK anstelle eines Geheimschlüssels begrenzt das Schadenspotenzial, falls ein Schlüssel versehentlich offengelegt oder Ihre App kompromittiert wird. | | Veröffentlichbarer Live-Modus-Schlüssel`pk_live_` | Ja | Ja | Wenn Sie bereit sind, Ihre Anwendung zu starten, verwenden Sie bitte diesen Schlüssel im clientseitigen Code Ihrer Web- oder Mobilanwendung. | Lokalisieren Sie Ihre [API-Schlüssel](https://dashboard.stripe.com/apikeys) im Stripe-Dashboard. Wenn Sie Ihre API-Schlüssel nicht anzeigen können, die Schlüssel für Ihre App aber verwalten müssen, bitten Sie den/die Inhaber/in Ihres Stripe-Kontos, Sie mit den nötigen Berechtigungen zum [Team](https://docs.stripe.com/get-started/account/teams.md) hinzuzufügen. Wenn Sie bei Stripe angemeldet sind, enthält unsere Dokumentation an einigen Stellen Ihre Test-API-Schlüssel, um die API-Nutzung zu veranschaulichen. Nur Sie können diese Werte sehen. Wenn Sie nicht angemeldet sind, enthalten unsere Codebeispiele zufällig generierte API-Schlüssel. > #### Webhook-Signaturgeheimnis > > Webhook-Signaturschlüssel sind keine API-Schlüssel, sondern einzelnen Webhooks zugeordnete Schlüssel. Mit ihrer Hilfe kann Ihr Webhook-Empfänger authentifizieren, dass Webhooks tatsächlich von Stripe stammen. Sie finden den Signaturschlüssel für jeden Webhook-Endpoint im Abschnitt [Webhooks](https://dashboard.stripe.com/webhooks) des Dashboards. ## Schützen Sie Ihre Schlüssel Jeder kann Ihren geheimen Schlüssel für den Live-Modus verwenden, um im Namen Ihres Kontos beliebige API-Aufrufe durchzuführen, beispielsweise eine Belastung zu erstellen oder eine Rückerstattung vorzunehmen. *Sie sind für die sichere Aufbewahrung Ihrer Schlüssel verantwortlich*. Schützen Sie Ihre Schlüssel, indem Sie die folgenden Best Practices befolgen: - Speichern Sie Geheimschlüssel in einem Geheimschlüsseltresor oder in verschlüsselten Umgebungsvariablen. Speichern Sie keine Schlüssel im Quellcode oder in Konfigurationsdateien, die in die Versionsverwaltung eingecheckt wurden. - Verwenden Sie nach Möglichkeit [eingeschränkte API Schlüssel](https://docs.stripe.com/keys.md#create-restricted-api-secret-key) anstelle von Geheimschlüsseln. Eingeschränkte Schlüssel beschränken den Zugriff auf die spezifischen API-Referenzen, die Ihre Integration benötigt. So können die Auswirkungen eines kompromittierten Schlüssels verringert werden. - [Beschränken Sie Schlüssel auf bestimmte IP-Adressen](https://docs.stripe.com/keys.md#limit-api-secret-keys-ip-address), damit sie nur von Ihren bekannten Servern aus verwendet werden können. - [Rotieren Sie Schlüssel](https://docs.stripe.com/keys.md#rolling-keys), wenn Teammitglieder mit Zugriff auf die Schlüssel Ihre Organisation verlassen. - Teilen Sie keine Schlüssel per E-Mail, Chat oder andere unverschlüsselte Kanäle. Weitere Informationen finden Sie unter [Best Practices für die Verwaltung geheimer API-Schlüssel](https://docs.stripe.com/keys-best-practices.md). ## Sandbox im Vergleich zum Live-Modus Alle Stripe-API-Anfragen erfolgen entweder in der *Sandbox* oder im *Live-Modus* (Use this mode when you’re ready to launch your app. Card networks or payment providers process payments). Verwenden Sie eine Sandbox, um auf Testdaten zuzugreifen, und den Live-Modus, um auf tatsächliche Kontodaten zuzugreifen. Jeder Modus verfügt über einen eigenen Satz API-Schlüssel. Objekte in einem Modus sind nicht gleichzeitig zugänglich. Zum Beispiel kann ein Sandbox[-Produktobjekt](https://docs.stripe.com/api/products/object.md) im Live-Modus nicht Teil einer Zahlung sein. | Modus | Schlüsselpräfix | Zweck | | -------------- | ---------------------------------- | ------------------------------------------------------------------------------------------- | | Sandbox (Test) | `pk_test_`, `sk_test_`, `rk_test_` | Entwickeln und testen Sie Ihre Integration sicher. Es fallen keine tatsächlichen Kosten an. | | Live | `pk_live_`, `sk_live_`, `rk_live` | Akzeptieren Sie echte Zahlungen von echten Kundinnen und Kunden. | > #### Zugriff auf die Live-Modus-Schlüssel > > Sie können einen geheimen oder eingeschränkten API-Schlüssel im Live-Modus nur einmal offenlegen. Wenn Sie ihn verlieren, können Sie ihn nicht über das Dashboard abrufen. Generieren Sie in diesem Fall einen neuen oder löschen Sie ihn und erstellen Sie dann einen neuen. | Typ | Wann diese eingesetzt werden | Objekte | Verwendung | Überlegungen | | ---------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | Sandboxen | Verwenden Sie eine Sandbox und die damit verbundenen Test-API-Schlüssel, wenn Sie Ihre Integration erstellen. In einer Sandbox wickeln Kartennetzwerke und Zahlungsanbieter keine Zahlungen ab. | API-Aufrufe geben simulierte Objekte zurück. Sie können zum Beispiel die Testobjekte `account`, `payment`, `customer`, `charge`, `refund`, `transfer`, `balance` und `subscription` abrufen und verwenden. | Verwenden Sie [Testkreditkarten und -konten](https://docs.stripe.com/testing.md#cards). Darüber können Sie allerdings keine echten Zahlungen akzeptieren oder mit echten Konten arbeiten. | [Identity](https://docs.stripe.com/identity.md) führt keine Verifizierungsprüfungen durch. Connect-[Kontenobjekte](https://docs.stripe.com/api/accounts/object.md) geben außerdem keine sensiblen Felder zurück. | | Live-Modus | Verwenden Sie den Live-Modus und die damit verbundenen Live-API-Schlüssel, wenn Sie bereit sind, Ihre Integration zu starten und echtes Zahlungen anzunehmen. Im Live-Modus werden Zahlungen von Kartennetzwerken und Zahlungsanbietern verarbeitet. | API-Aufrufe geben echte Objekte zurück. Sie können zum Beispiel echte Objekte wie `account`, `payment`, `customer`, `charge`, `refund`, `transfer`, `balance` und `subscription` abrufen und verwenden. | Akzeptieren Sie echte Kreditkarten und arbeiten Sie mit Kundenkonten. Sie können echte Zahlungsautorisierungen, Gebühren und Erfassungen für Kreditkarten und Konten akzeptieren. | Zahlungsanfechtungen haben einen differenzierteren Ablauf und einen einfacheren [Testvorgang](https://docs.stripe.com/testing.md#disputes). Außerdem haben einige [Zahlungsmethoden](https://docs.stripe.com/payments/payment-methods.md) einen differenzierteren Ablauf und es sind mehr Schritte erforderlich. | ## In den Live-Modus wechseln Wenn Sie bereit sind, echte Zahlungen zu akzeptieren, verwenden Sie API-Schlüssel für den Live-Modus anstelle von Sandbox-Schlüsseln (Testschlüsseln). Wechseln Sie auf der Seite [API-Schlüssel](https://dashboard.stripe.com/apikeys) vom **Sandbox-Modus** zum **Live-Modus**. Auf der Seite werden nun Ihre API-Schlüssel für den Live-Modus angezeigt. ### Veröffentlichbare Schlüssel (clientseitig) 1. Kopieren Sie Ihren **veröffentlichbaren Schlüssel im Live-Modus** (beginnt mit `pk_live_`) und ersetzen Sie den Schlüssel `pk_test_` in Ihrem clientseitigen Code. ### Eingeschränkte oder geheime API-Schlüssel (serverseitig) Serverseitige API-Schlüssel sind vertrauliche Daten. Lesen Sie daher unsere [Best Practices für die Verwaltung geheimer API-Schlüssel](https://docs.stripe.com/keys-best-practices.md) durch, falls Sie dies noch nicht getan haben. Wir empfehlen Ihnen, [eingeschränkte API-Schlüssel](https://docs.stripe.com/keys/restricted-api-keys.md) für Ihren serverseitigen Code zu generieren, um den Schaden für Ihr Unternehmen zu begrenzen, falls Ihre Schlüssel jemals offengelegt oder kompromittiert werden sollten. 1. Bevor Sie einen Live-Modus-Schlüssel in Ihrer Backend-Anwendung verwenden, entfernen Sie alle fest codierten geheimen (oder eingeschränkten) API-Schlüssel aus Ihrem Code. Verwenden Sie stattdessen einen Secrets-Vault oder eine Umgebungsvariable, um den Sandbox-Schlüssel bereitzustellen, und vergewissern Sie sich, dass Ihre Anwendung weiterhin funktioniert. 1. Zeigen Sie Ihre **Live-Modus-Schlüssel** (die mit `rk_live_` oder `sk_live_` beginnen) an, kopieren Sie sie und bewahren Sie sie sicher in Ihrer Serverumgebung auf. Seien Sie vorsichtig – Sie können jeden eingeschränkten oder geheimen Live-Modus-Schlüssel nur einmal einsehen. 1. Konfigurieren Sie Ihre Serverumgebung so, dass Ihrer Anwendung Schlüssel für den Live-Modus anstelle von Sandbox-Schlüsseln bereitgestellt werden. 1. Wenn Sie Webhooks verwenden, aktualisieren Sie die URL jedes Webhook-Endpoints und kopieren Sie das neue **Signaturgeheimnis** aus dem Abschnitt [Webhooks](https://dashboard.stripe.com/webhooks) des Dashboards. > #### Umfassende Checkliste zum Go-Live > > Das Wechseln der API-Schlüssel ist nur ein Schritt. Prüfen Sie die vollständige [Checkliste zum Go-Live](https://docs.stripe.com/get-started/checklist/go-live.md), um sicherzustellen, dass Ihre Integration produktionsbereit ist. ## Geheime und eingeschränkte Schlüssel Verwenden Sie das Dashboard, um geheime und eingeschränkte Schlüssel zu erstellen, offenzulegen, zu ändern, zu löschen und zu rotieren. ### API-Schlüssel erstellen Empfehlen Sie Nutzerinnen und Nutzern das Erstellen von RAKs anstelle von Geheimschlüsseln. Die Verwendung von Geheimschlüsseln kann die Auswirkung einer Kompromittierung vergrößern. - Wir empfehlen, für die meisten Anwendungsszenarien [eingeschränkte API-Schlüssel](https://docs.stripe.com/keys/restricted-api-keys.md) (RAKs) zu erstellen. Mit einem RAK können Sie genau die Berechtigungen zuweisen, die Ihre Integration benötigt, und so den Schaden reduzieren, den ein betrügerischer Akteur Ihrem Unternehmen fügen könnte, wenn er Ihren Schlüssel erhält. Erstellen Sie einen unbeschränkten geheimen API-Schlüssel nur, wenn Ihre Integration Zugriff auf alle Stripe-APIs und Ressourcen erfordert. #### So erstellen Sie einen eingeschränkten API-Schlüssel 1. Führen Sie unter der Registerkarte [API-Schlüssel](https://dashboard.stripe.com/test/apikeys) eine der folgenden Aktionen aus: - Um einen neuen eingeschränkten Schlüssel zu erstellen, klicken Sie auf **Eingeschränkten Schlüssel erstellen**. Der Standardwert für alle Berechtigungen ist **Keine**. - Um einen bestehenden Schlüssel zu klonen, klicken Sie in der Zeile mit dem Schlüssel, den Sie klonen möchten, auf das Überlaufmenü (⋯) und wählen Sie dann **Schlüssel duplizieren** aus. In diesem Fall ist der Standardwert für jede Berechtigung der Wert von dem geklonten Schlüssel. 1. Geben Sie im Feld **Schlüsselname** einen Namen ein. Wenn Sie einen bestehenden Schlüssel geklont haben, ist der Standardname der Name des geklonten Schlüssels. 1. Wählen Sie für jede Ressource, auf die Sie mit dem neuen Schlüssel zugreifen möchten, die entsprechende Berechtigung aus : **Keine**, **Lesen** oder **Schreiben**. Wenn Sie Connect verwenden, können Sie auch die Berechtigung für diesen Schlüssel auswählen, um auf verbundene Konten zuzugreifen. 1. Klicken Sie auf **Schlüssel erstellen**. 1. Geben Sie im Dialogfeld den Verifizierungscode ein, den Stripe Ihnen per E-Mail oder Textnachricht zusendet. Wenn das Dialogfeld nicht automatisch fortgesetzt wird, klicken Sie auf **Weiter**. 1. Klicken Sie auf den Schlüsselwert, um ihn zu kopieren. 1. Speichern Sie den Schlüsselwert. Sie können ihn später nicht abrufen. 1. Geben Sie in das Feld **Notiz hinzufügen** den Speicherort ein, an dem Sie den Schlüssel gespeichert haben, und klicken Sie dann auf **Fertig**. #### So erstellen Sie einen geheimen API-Schlüssel 1. Klicken Sie auf der Registerkarte [API-Schlüssel](https://dashboard.stripe.com/test/apikeys) auf **Geheimschlüssel erstellen**. 1. Geben Sie im Dialogfeld den Verifizierungscode ein, den Stripe Ihnen per E-Mail oder Textnachricht zusendet. Wenn das Dialogfeld nicht automatisch fortgesetzt wird, klicken Sie auf **Weiter**. 1. Geben Sie einen Namen in das Feld **Schlüsselname** ein und klicken Sie dann auf **Erstellen**. 1. Klicken Sie auf den Schlüsselwert, um ihn zu kopieren. 1. Speichern Sie den Schlüsselwert. Sie können ihn später nicht abrufen. 1. Geben Sie in das Feld **Notiz hinzufügen** den Speicherort ein, an dem Sie den Schlüssel gespeichert haben, und klicken Sie dann auf **Fertig**. ### Einen API-Schlüssel offenlegen Sie können einen eingeschränkten oder geheimen API-Schlüssel im Sandbox- oder Live-Modus anzeigen. Im Live-Modus zeigt Stripe Ihnen jeden eingeschränkten oder geheimen API-Schlüssel nur einmal an. Bewahren Sie den Schlüssel an einem Ort auf, an dem Sie ihn nicht verlieren können, jedoch nicht im Code Ihrer Anwendung. Um sich zu merken, wo Sie ihn gespeichert haben, können Sie im Dashboard eine Notiz zum Schlüssel hinzufügen. Sollten Sie den Schlüssel verlieren, können Sie ihn rotieren oder löschen und einen neuen erstellen. > #### Geheimschlüssel im Live-Modus offenlegen > > Nachdem Sie im Live-Modus einen geheimen oder eingeschränkten API-Schlüssel erstellt haben, wird dieser angezeigt, bevor Sie ihn speichern. Sie müssen den Schlüssel vor dem Speichern kopieren, da Sie ihn später nicht mehr kopieren können. Sie können nur einen Standard-Geheimschlüssel oder einen durch eine geplante Rotation generierten Schlüssel einblenden. #### Einen geheimen oder eingeschränkten API-Schlüssel für den Live-Modus offenlegen 1. Klicken Sie unter der Registerkarte [API-Schlüssel](https://dashboard.stripe.com/apikeys) im Live-Modus in der Liste **Standardschlüssel** oder **Eingeschränkte Schlüssel** auf **Live-Schlüssel offenlegen** für den Schlüssel, den Sie offenlegen möchten. 1. Klicken Sie auf den Schlüsselwert, um ihn zu kopieren. 1. Bewahren Sie den Schlüsselwert an einem sicheren Ort auf, beispielsweise im Geheimnisspeicher Ihrer Plattform oder in der Konfiguration der Umgebungsvariablen Ihres Backends. 1. Klicken Sie auf **Test-Schlüssel ausblenden**. 1. Klicken Sie auf das Überlaufmenü (⋯) und wählen Sie dann **Schlüssel bearbeiten** aus. 1. Geben Sie in das Feld **Notiz** den Ort ein, an dem Sie den Schlüssel gespeichert haben, und klicken Sie dann auf **Speichern**. > Schlüssel, die Sie erstellt haben, bevor Stripe diese Funktion eingeführt hat, werden nicht automatisch ausgeblendet, wenn sie offengelegt werden. Sie müssen sie manuell ausblenden, indem Sie auf **Live-Schlüssel ausblenden** klicken. ### API-Schlüssel auf bestimmte IP-Adressen beschränken Sie können einen geheimen API-Schlüssel oder einen eingeschränkten API-Schlüssel auf eine Auswahl von IP-Adressen oder eine oder mehrere bestimmte IP Adressen beschränken. Stripe empfiehlt, IP-Einschränkungen für alle Schlüssel im Live-Modus zu aktivieren, um die Verwendung von nicht autorisierten Standorten zu verhindern. Verwenden Sie ggf. separate IP-Zulassungslisten für separate Schlüssel (z. B. um zwischen Staging- und Produktionsumgebungen zu unterscheiden). Die IP-Adressen müssen das IPv4-Protokoll verwenden. Sie können jeden gültigen CIDR-Bereich angeben. Ein gültiger Bereich wäre zum Beispiel `100.10.38.0 - 100.10.38.255`, angegeben als `100.10.38.0/24`. Alle IP-Adressen in dem Bereich müssen mit `100.10.38` beginnen. 1. Klicken Sie auf der Registerkarte [API-Schlüssel](https://dashboard.stripe.com/test/apikeys) in der Liste **Standardschlüssel** oder **Eingeschränkte Schlüssel** auf das Überlaufmenü (⋯) für den Schlüssel, den Sie offenlegen möchten. 1. Wählen Sie **IP-Einschränkungen verwalten** > **Nutzung auf eine Reihe von IP-Adressen beschränken** aus. 1. Führen Sie einen der folgenden Schritte aus: - Geben Sie eine oder mehrere einzelne IP-Adressen in das Feld **IP-Adresse** ein. - Geben Sie für einen Bereich von IP-Adressen den Bereich in CIDR-Notation (Classless Inter-Domain Routing) ein. Geben Sie im Feld **IP-Adresse** die erste Adresse im Bereich ein. Geben Sie im Feld **CIDR** die Netzwerkpräfixgröße ein. 1. Um eine weitere IP-Adresse oder einen anderen IP-Bereich hinzuzufügen, klicken Sie auf **+ Hinzufügen**. 1. Klicken Sie auf **Speichern**. ### Name oder Notiz eines API-Schlüssels ändern 1. Klicken Sie auf der Registerkarte [API-Schlüssel](https://dashboard.stripe.com/test/apikeys) auf das Überlaufmenü (⋯) für den Schlüssel, den Sie ändern möchten. 1. Wählen Sie **Schlüssel bearbeiten** aus. 1. Führen Sie Folgendes aus: - Um den Namen zu ändern, geben Sie einen neuen Namen in das Feld **Schlüsselname** ein. - Wenn Sie den Text der Notiz ändern möchten, geben Sie unter **Notiz** den neuen ́Text ein. 1. Klicken Sie auf **Speichern**. ### API-Schlüssel ablaufen lassen Wenn Sie einen geheimen API-Schlüssel oder einen eingeschränkten API-Schlüssel ablaufen lassen, müssen Sie einen neuen erstellen und alle Codes aktualisieren, die den abgelaufenen Schlüssel verwenden. Alle Codes, die den abgelaufenen Schlüssel verwenden, können keine API-Aufrufe mehr durchführen. > Sie können einen veröffentlichbaren Schlüssel nicht ablaufen lassen. 1. Klicken Sie auf der Registerkarte [API-Schlüssel](https://dashboard.stripe.com/test/apikeys) in der Liste **Standardschlüssel** oder **Eingeschränkte Schlüssel** auf das Überlaufmenü (⋯) für den Schlüssel, den Sie ablaufen lassen möchten. 1. Wählen Sie **Schlüssel ablaufen lassen** aus. 1. Klicken Sie im Dialogfeld auf **Schlüssel ablaufen lassen**. Wenn Sie den Schlüssel nicht mehr ablaufen lassen möchten, klicken Sie auf **Abbrechen**. ### Einen API-Schlüssel rotieren Durch Rotieren eines API-Schlüssels wird dieser widerrufen und ein Ersatzschlüssel generiert, der sofort verwendet werden kann. Sie können auch planen, dass ein API-Schlüssel nach einer bestimmten Zeit rotiert. Der Ersatzschlüssel wird wie folgt benannt: - Der Name des veröffentlichbaren Ersatzschlüssels ist immer `veröffentlichbarer Schlüssel`. - Der Name des Ersatz-Geheimschlüssels ist immer `Geheimschlüssel`. - Der eingeschränkte Ersatzschlüsselname ist derselbe wie der des rotierten Schlüssels. Sie können einen geheimen oder eingeschränkten API-Schlüssel umbenennen, indem Sie den Schlüssel bearbeiten. Rotieren Sie einen API-Schlüssel in folgenden Szenarien: - Wenn Sie im Live-Modus einen geheimen oder eingeschränkten API-Schlüssel verlieren und diesen nicht über das Dashboard wiederherstellen können. - Wenn ein geheimer oder eingeschränkter API-Schlüssel kompromittiert wird, müssen Sie ihn widerrufen, um potenzielle böswillige API-Anfragen zu blockieren, die ihn verwenden könnten. - Wenn ein Teammitglied mit Zugriff auf den Schlüssel Ihre Organisation verlässt oder die Rollen wechselt. - Wenn Ihre Richtlinie das Wechseln von Schlüsseln in bestimmten Intervallen erfordert. #### Einen API-Schlüssel rotieren 1. Klicken Sie auf der Registerkarte [API-Schlüssel](https://dashboard.stripe.com/test/apikeys) auf das Überlaufmenü (⋯) für den Schlüssel, den Sie rotieren möchten. 1. Wählen Sie **Schlüssel rotieren** aus. 1. Wählen Sie im Dropdown-Menü **Gültig bis**Ablaufdatum aus. Wenn Sie **Jetzt** auswählen, wird der alte Schlüssel gelöscht. Wenn Sie einen Zeitpunkt angeben, wird die verbleibende Zeit bis zum Ablauf des Schlüssels unter dem Schlüsselnamen angezeigt. 1. Klicken Sie auf **API-Schlüssel rotieren**. 1. Klicken Sie auf den Schlüsselwert, um ihn zu kopieren. 1. Speichern Sie den Schlüsselwert. Sie können ihn später nicht abrufen. 1. Geben Sie in das Feld **Notiz hinzufügen** den Speicherort ein, an dem Sie den Schlüssel gespeichert haben, und klicken Sie dann auf **Speichern** oder **Fertig**. ### Zugriff eines API-Schlüssels wiederherstellen Der Zugriff auf einen API-Schlüssel könnte eingeschränkt werden, wenn er länger als 180 Tage nicht zum Erstellen von Überweisungen, Auszahlungen oder zum Aktualisieren von Auszahlungszielen verwendet wurde. Mit einem Schlüssel mit eingeschränktem Zugriff können Sie keine Auszahlungen und Überweisungen erstellen oder Auszahlungsziele anlegen. Sie können den Zugriff wiederherstellen, um den Schlüssel normal zu verwenden oder eine gesperrte Aktion auszuführen. #### So stellen Sie den Zugriff für einen API-Schlüssel wieder her 1. Klicken Sie auf der Registerkarte [API-Schlüssel](https://dashboard.stripe.com/test/apikeys) auf das Überlaufmenü (⋯) für den Schlüssel, den Sie wiederherstellen möchten. 1. Wählen Sie **Zugriff wiederherstellen**. 1. Klicken Sie auf **Wiederherstellen**. ## API-Schlüssel der Organisation Wenn Sie mehrere Stripe-Unternehmenskonten in einer [Organisation](https://docs.stripe.com/get-started/account/orgs.md) haben, können Sie einen einzelnen API-Schlüssel auf Organisationsebene konfigurieren. API-Schlüssel auf Organisationsebene bieten die folgenden Funktionen: - **Zugriff auf jedes Konto**: Sie können API-Schlüssel der Organisation verwenden, um auf Ressourcen eines beliebigen Kontos innerhalb der Organisation zuzugreifen. - **Berechtigungen einschränken**: Schränken Sie die API-Schlüssel Ihrer Organisation ein, um Lese- oder Schreibberechtigungen nur für bestimmte Ressourcen zu erteilen. - **Zentrale Verwaltung**: Erstellen und verwalten Sie API-Schlüssel der Organisation unter der Registerkarte [API-Schlüssel](https://dashboard.stripe.com/org/api-keys/secret) im Dashboard Ihrer Organisation. ### Verhalten API-Schlüssel der Organisation verhalten sich anders als API-Schlüssel auf Kontoebene. Dazu zählt unter anderem: - Sie haben keinen veröffentlichbaren Schlüssel. Behandeln Sie alle API-Schlüssel der Organisation als geheime Schlüssel. - Sie haben alle das gleiche `sk_org`-Präfix, unabhängig von ihrer Berechtigungsstufe. - Alle API-Anfragen, die mit einem Organisations-API-Schlüssel gestellt werden, müssen den `Stripe-Context`-Header enthalten, um das betroffene Konto zu identifizieren. - Alle API-Anfragen, die mit einem Organisations-API-Schlüssel gestellt werden, müssen den `Stripe-Version`-Header enthalten, um Konsistenz und Vorhersehbarkeit über alle Integrationen Ihres Unternehmens hinweg zu gewährleisten. ### API-Schlüssel der Organisation verwenden Wenn Sie einen Organisationsschlüssel für die API verwenden, müssen Sie außerdem folgende Schritte ausführen: - Geben Sie eine API-Version an, indem Sie einen `Stripe-Version`-Header einfügen. Bei Verwendung eines [Stripe-SDK](https://docs.stripe.com/sdks/set-version.md) legt das SDK automatisch die API-Version fest. - Identifizieren Sie das von der API-Anfrage betroffene Konto, indem Sie den `Stripe-Context`-Header einfügen. Zum Beispiel bei folgender Organisationsstruktur: ``` Organization (org_6SD3oI0eSQemPzdmaGLJ5j6) ├── Platform account (acct_1R3fqDP6919yCiFv) | └── Connected account (acct_1032D82eZvKYlo2C) └── Standalone account (acct_1aTnTtAAB0hHJ26p) ``` Sie können den Schlüssel der Organisations-API verwenden, um auf das Guthaben des eigenständigen Kontos zuzugreifen. Sie können denselben Schlüssel auch verwenden, um denselben Aufruf für das verbundene Plattformkonto zu tätigen. ```curl curl https://api.stripe.com/v1/balance \ -u {{ORG_SECRET_KEY}}: \ -H "Stripe-Version: {{STRIPE_API_VERSION}}" \ -H "Stripe-Context: {{CONTEXT_ID}}" ``` Ersetzen Sie im vorherigen Codebeispiel `{{CONTEXT}}` durch den entsprechenden Wert: - Verwenden Sie `acct_1aTnTtAAB0hHJ26p` für das eigenständige Konto. - Verwenden Sie für das verbundene Konto einen Pfad, der sowohl die Plattform als auch das verbundene Konto identifiziert, und zwar im Format `acct_1R3fqDP6919yCiFv/acct_1032D82eZvKYlo2C`. Sie müssen das betreffende Konto über den Kontext und die API-Version in jeder API-Anfrage mit einem Organisationsschlüssel angeben. Organizations haben keine veröffentlichbaren API-Schlüssel, weil sie keine Zahlungen akzeptieren können. Sie können Ihren Organisations-API-Schlüssel verwenden, um PaymentIntent für jedes Konto in Ihrer Organisation zu erstellen. Für die clientseitigen Operationen müssen Sie jedoch bestehende kontospezifische, veröffentlichbare Schlüssel verwenden. ## Verwaltete API-Schlüssel Einige Plattformen von Drittanbietern, wie beispielsweise [Vercel](https://vercel.com/docs/integrations/ecommerce/stripe), können API-Schlüssel in Ihrem Auftrag erstellen und verwalten, wenn Sie deren Integration installieren. Diese Schlüssel werden als verwaltete API-Schlüssel bezeichnet und werden von der Plattform programmgesteuert erstellt, anstatt dass Sie sie manuell im Dashboard erstellen müssen. Verwaltete API-Schlüssel werden zusammen mit Ihren anderen Schlüsseln auf der Registerkarte [API-Schlüssel](https://dashboard.stripe.com/test/apikeys) angezeigt und mit dem Namen der Verwaltungsplattform gekennzeichnet. Die folgende Tabelle fasst die Unterschiede zwischen nicht verwalteten und verwalteten Schlüsseln zusammen. | | Nicht verwaltete Schlüssel | Verwaltete Schlüssel | | ------------------------ | -------------------------------------------------------------------------------- | ----------------------------------------------------------------------------------------------------------- | | Schlüsselerstellung | Sie erstellen Schlüssel im Dashboard | Die Plattform erstellt Schlüssel über die API | | Benutzerinteraktion | Sie kopieren Schlüssel aus dem Dashboard und konfigurieren sie auf der Plattform | Die Plattform übernimmt die Schlüsseleinrichtung automatisch | | Zustellung der Schlüssel | Wird Ihnen im Dashboard angezeigt | Direkt an die Plattform geliefert | | Schlüsselverwaltung | Sie kontrollieren die Rotation und das Ablaufen der Schlüssel. | Die Plattform verwaltet den Lebenszyklus der Schlüssel; Sie können die Schlüssel jederzeit ablaufen lassen. | ### Zugriff auf verwaltete Schlüssel widerrufen Sie können einen verwalteten API-Schlüssel jederzeit widerrufen, indem Sie eine der folgenden Maßnahmen ergreifen: - **Schlüssel ablaufen lassen**: Klicken Sie auf der Registerkarte [API-Schlüssel](https://dashboard.stripe.com/apikeys) auf das Überlaufmenü (⋯) für den verwalteten Schlüssel und lassen Sie ihn ablaufen. Dadurch wird der Zugriff der Plattform sofort widerrufen, ohne die Integration zu entfernen. - **Deinstalliere die Integration**: Deinstalliere die App der Plattform von deinem Stripe-Konto. Wenn du eine App deinstallierst, kannst du die verwalteten Schlüssel sofort ablaufen lassen oder aktiv lassen. ## API-Anfrage-Logs anzeigen Um [die API-Anfrage-Logs zu öffnen](https://docs.stripe.com/development/dashboard/request-logs.md), klicken Sie für einen beliebigen Schlüssel auf das Überlaufmenü (⋯) und wählen **Anfrage-Logs-anzeigen** aus. Durch Öffnen der Logs kehren Sie zum Stripe-Dashboard zurück. ## See also - [Best Practices für die Verwaltung von geheimen API-Schlüsseln](https://docs.stripe.com/keys-best-practices.md) - [Schutz vor kompromittierten API-Schlüsseln](https://support.stripe.com/questions/protecting-against-compromised-api-keys) - [Warum hat mein API-Schlüssel nur eingeschränkten Zugriff?](https://support.stripe.com/questions/why-does-my-api-key-have-limited-access)