# API-Schlüssel Verwenden Sie API-Schlüssel, um API-Anfragen zu authentifizieren. Stripe authenticates API requests using your account’s API keys. If a request doesn’t include a valid key, Stripe returns an [invalid request error](https://docs.stripe.com/error-handling.md#invalid-request-errors). If a request includes a deleted or expired key, Stripe returns an [authentication error](https://docs.stripe.com/error-handling.md#authentication-errors). Use the [Developers Dashboard](https://dashboard.stripe.com/test/apikeys) to create, reveal, delete, and rotate API keys. You can access your API keys on the [API keys](https://dashboard.stripe.com/test/apikeys) tab. > #### Wenn Sie neu bei Stripe sind > > - **Sorgen Sie für die Sicherheit Ihres Unternehmens:** Lesen Sie unsere [Best Practices](https://docs.stripe.com/keys-best-practices.md) für die Schlüsselverwaltung. - **Erstellen und testen**: Verwenden Sie Ihre *Sandbox-Schlüssel (Test-Modus)*. Sandbox-Schlüssel beginnen mit `pk_test_` (veröffentlichbar), `rk_test_` (eingeschränkt) und `sk_test_` (geheim). Mit ihnen können Sie Tests durchführen, ohne Live-Daten zu beeinträchtigen. - \** Wenn Sie bereit sind, echte Zahlungen zu akzeptieren**: Wechseln Sie zu Ihren **Live-Modus-Schlüsseln**, die mit `pk_live_`, `rk_live_` und `sk_live_` beginnen. Anweisungen finden Sie unter [Zum Live-Modus wechseln](https://docs.stripe.com/keys.md#switch-to-live-mode). - **Wenn Sie ein Webhook-Signaturgeheimnis benötigen**: Webhook-Geheimnisse sind von API-Schlüsseln getrennt. Sie finden sie im Dashboard im Abschnitt [Webhooks](https://dashboard.stripe.com/webhooks) unter jedem Webhook-Endpoint. ## Schlüsseltypen When you sign up for a Stripe account, we create three types of API keys for you: | Typ | Bedenkenlos bereitstellbar | Beschreibung | | -------------------------------- | -------------------------- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | Restricted API key (RAK)`rk_...` | Nein | API key with permissions you control. Limit the damage to your business that a bad actor could cause if they obtained your key. Create as many RAKs as you want and assign them to different parts of your application. [This guide](https://docs.stripe.com/keys/restricted-api-keys.md) explains how to configure and use RAKs. | | Publishable API key | Ja | API key that you can put in front-end code or applications you distribute. | | Secret API key`sk_...` | Nein | API key that has unrestricted permissions on all Stripe APIs. Because you can’t limit their permissions, we don’t recommend using secret keys for new use cases, and for existing integrations, we recommend migrating secret key usage to RAKs. | > #### Webhook-Signaturgeheimnis > > Webhook-Signaturschlüssel sind keine API-Schlüssel, sondern einzelnen Webhooks zugeordnete Schlüssel. Mit ihrer Hilfe kann Ihr Webhook-Empfänger authentifizieren, dass Webhooks tatsächlich von Stripe stammen. Sie finden den Signaturschlüssel für jeden Webhook-Endpoint im Abschnitt [Webhooks](https://dashboard.stripe.com/webhooks) des Dashboards. If you created your Stripe account before May 2026, you might not have any restricted API keys. We recommend creating RAKs and migrating from secret keys. You’re responsible for managing your API keys safely. Read our guide to [best practices for protecting API keys](https://docs.stripe.com/keys-best-practices.md). ### Sandbox im Vergleich zum Live-Modus All Stripe API requests occur in either a *sandbox* (A sandbox is an isolated test environment that allows you to test Stripe functionality in your account without affecting your live integration. Use sandboxes to safely experiment with new features and changes) or *live mode* (Use this mode when you’re ready to launch your app. Card networks or payment providers process payments). You can use a sandbox to test your integration and access test data, and live mode to access actual account data. Each mode has its own set of API keys, and objects in one mode aren’t accessible to the other. For example, a sandbox [product object](https://docs.stripe.com/api/products/object.md) can’t be part of a live mode payment. | Typ | Wann diese eingesetzt werden | Objekte | Verwendung | Überlegungen | | ---------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | Sandboxen | Verwenden Sie eine Sandbox und die damit verbundenen Test-API-Schlüssel, wenn Sie Ihre Integration erstellen. In einer Sandbox wickeln Kartennetzwerke und Zahlungsanbieter keine Zahlungen ab. | API-Aufrufe geben simulierte Objekte zurück. Sie können zum Beispiel die Testobjekte `account`, `payment`, `customer`, `charge`, `refund`, `transfer`, `balance` und `subscription` abrufen und verwenden. | Verwenden Sie [Testkreditkarten und -konten](https://docs.stripe.com/testing.md#cards). Darüber können Sie allerdings keine echten Zahlungen akzeptieren oder mit echten Konten arbeiten. | [Identity](https://docs.stripe.com/identity.md) führt keine Verifizierungsprüfungen durch. Connect-[Kontenobjekte](https://docs.stripe.com/api/accounts/object.md) geben außerdem keine sensiblen Felder zurück. | | Live-Modus | Verwenden Sie den Live-Modus und die damit verbundenen Live-API-Schlüssel, wenn Sie bereit sind, Ihre Integration zu starten und echtes Zahlungen anzunehmen. Im Live-Modus werden Zahlungen von Kartennetzwerken und Zahlungsanbietern verarbeitet. | API-Aufrufe geben echte Objekte zurück. Sie können zum Beispiel echte Objekte wie `account`, `payment`, `customer`, `charge`, `refund`, `transfer`, `balance` und `subscription` abrufen und verwenden. | Akzeptieren Sie echte Kreditkarten und arbeiten Sie mit Kundenkonten. Sie können echte Zahlungsautorisierungen, Gebühren und Erfassungen für Kreditkarten und Konten akzeptieren. | Zahlungsanfechtungen haben einen differenzierteren Ablauf und einen einfacheren [Testvorgang](https://docs.stripe.com/testing.md#disputes). Außerdem haben einige [Zahlungsmethoden](https://docs.stripe.com/payments/payment-methods.md) einen differenzierteren Ablauf und es sind mehr Schritte erforderlich. | ## Schützen Sie Ihre Schlüssel Only publishable keys are safe to expose outside your application’s backend. You’re responsible for protecting other Stripe API keys, including restricted API keys. Here are some ways you can protect your keys: - Store sensitive keys in a secrets vault provided by your hosting platform. [This blog post](https://stripe.dev/blog/securing-stripe-api-keys-aws-automatic-rotation) offers an example. If you can’t use a secrets vault, use environment variables to provide keys to your backend applications. - Don’t put keys in source code or configuration files checked into version control. - [Limit keys to specific IP addresses](https://docs.stripe.com/keys.md#limit-api-secret-keys-ip-address) so only your servers can use them. - [Rotieren Sie Schlüssel](https://docs.stripe.com/keys.md#rolling-keys), wenn Teammitglieder mit Zugriff auf die Schlüssel Ihre Organisation verlassen. - Teilen Sie keine Schlüssel per E-Mail, Chat oder andere unverschlüsselte Kanäle. For a comprehensive guide, see [best practices for managing secret API keys](https://docs.stripe.com/keys-best-practices.md). We also maintain [a library of skills](https://github.com/stripe/ai/tree/main/skills) to help AI agents follow these best practices. ## Manage your API keys Use the [Dashboard](https://dashboard.stripe.com/apikeys) to create, reveal, modify, delete, and rotate your API keys. #### Einen eingeschränkten API-Schlüssel erstellen Use [restricted API keys](https://docs.stripe.com/keys/restricted-api-keys.md) (RAKs) for most use cases. Using a RAK, you can assign exactly the permissions your integration needs, reducing the damage a bad actor could cause to your business if they obtained your key. - Follow the instructions on [Restricted API Keys](https://docs.stripe.com/keys/restricted-api-keys.md) to create a RAK, configure its permissions, and migrate from secret keys. #### Einen geheimen API-Schlüssel erstellen Create an unrestricted secret API key only when your integration requires access to all Stripe APIs and resources without restriction. If a bad actor obtains your secret key, they can harm your business. We recommend using RAKs instead. 1. Klicken Sie auf der Registerkarte [API-Schlüssel](https://dashboard.stripe.com/test/apikeys) auf **Geheimschlüssel erstellen**. 1. In the dialog, enter the verification code that we send you by email or text message. If the dialog doesn’t continue automatically, click **Continue**. 1. Geben Sie einen Namen in das Feld **Schlüsselname** ein und klicken Sie dann auf **Erstellen**. 1. Klicken Sie auf den Schlüsselwert, um ihn zu kopieren. 1. Speichern Sie den Schlüsselwert. Sie können ihn später nicht abrufen. 1. Geben Sie in das Feld **Notiz hinzufügen** den Speicherort ein, an dem Sie den Schlüssel gespeichert haben, und klicken Sie dann auf **Fertig**. ### Einen API-Schlüssel offenlegen When you create a secret key in live mode, we display it once before you save it. Copy the key before saving it because you can’t reveal it later. In live mode, you can reveal only API keys that we create for you, such as a default secret key or a key generated by a scheduled rotation. In sandbox mode, you can always see all of your API keys, including restricted and secret keys. > Store sensitive keys in a place where you won’t lose them, such as a secrets vault provided by your platform. Don’t put keys in your application’s code. Publishable API keys aren’t sensitive, so we show them by default and you don’t need to do anything to reveal them. We can’t recover keys that you’ve forgotten or lost access to. If you lose a key, rotate or delete it and create another. #### To reveal a RAK in live mode You can reveal only live-mode RAKs that we created for you. If you create a RAK yourself, you can’t reveal it after you’ve seen it once. 1. On the [API keys](https://dashboard.stripe.com/apikeys) tab in live mode, in the **Restricted keys** list, click **Reveal live key** for the key you want to reveal. 1. Klicken Sie auf den Schlüsselwert, um ihn zu kopieren. 1. Bewahren Sie den Schlüsselwert an einem sicheren Ort auf, beispielsweise im Geheimnisspeicher Ihrer Plattform oder in der Konfiguration der Umgebungsvariablen Ihres Backends. 1. Click **Hide live key**. #### To reveal a secret API key in live mode You can reveal only live-mode secret keys that we created for you. If you create a secret key yourself, you can’t reveal it after you’ve seen it once. 1. On the [API keys](https://dashboard.stripe.com/apikeys) tab in live mode, in the **Standard keys** list, click **Reveal live key** for the key you want to reveal. 1. Klicken Sie auf den Schlüsselwert, um ihn zu kopieren. 1. Bewahren Sie den Schlüsselwert an einem sicheren Ort auf, beispielsweise im Geheimnisspeicher Ihrer Plattform oder in der Konfiguration der Umgebungsvariablen Ihres Backends. 1. Click **Hide live key**. 1. Klicken Sie auf das Überlaufmenü (⋯) und wählen Sie dann **Schlüssel bearbeiten** aus. 1. Geben Sie in das Feld **Notiz** den Ort ein, an dem Sie den Schlüssel gespeichert haben, und klicken Sie dann auf **Speichern**. ### API-Schlüssel auf bestimmte IP-Adressen beschränken You can limit a secret API key or a restricted API key to a range of IP addresses, or one or more specific IP addresses. We recommend enabling IP restrictions on all live mode keys to prevent use from unauthorized locations. Use separate IP allowlists for separate keys when applicable (for example, to distinguish between staging and production environments). Die IP-Adressen müssen das IPv4-Protokoll verwenden. Sie können jeden gültigen CIDR-Bereich angeben. Ein gültiger Bereich wäre zum Beispiel `100.10.38.0 - 100.10.38.255`, angegeben als `100.10.38.0/24`. Alle IP-Adressen in dem Bereich müssen mit `100.10.38` beginnen. 1. On the [API keys](https://dashboard.stripe.com/test/apikeys) tab, in the **Restricted keys** or **Standard keys** list, click the overflow menu (⋯) for the key you want to reveal. 1. Wählen Sie **IP-Einschränkungen verwalten** > **Nutzung auf eine Reihe von IP-Adressen beschränken** aus. 1. Führen Sie einen der folgenden Schritte aus: - Geben Sie eine oder mehrere einzelne IP-Adressen in das Feld **IP-Adresse** ein. - Geben Sie für einen Bereich von IP-Adressen den Bereich in CIDR-Notation (Classless Inter-Domain Routing) ein. Geben Sie im Feld **IP-Adresse** die erste Adresse im Bereich ein. Geben Sie im Feld **CIDR** die Netzwerkpräfixgröße ein. 1. Um eine weitere IP-Adresse oder einen anderen IP-Bereich hinzuzufügen, klicken Sie auf **+ Hinzufügen**. 1. Klicken Sie auf **Speichern**. ### Name oder Notiz eines API-Schlüssels ändern 1. Klicken Sie auf der Registerkarte [API-Schlüssel](https://dashboard.stripe.com/test/apikeys) auf das Überlaufmenü (⋯) für den Schlüssel, den Sie ändern möchten. 1. Wählen Sie **Schlüssel bearbeiten** aus. 1. Führen Sie Folgendes aus: - Um den Namen zu ändern, geben Sie einen neuen Namen in das Feld **Schlüsselname** ein. - Wenn Sie den Text der Notiz ändern möchten, geben Sie unter **Notiz** den neuen ́Text ein. 1. Klicken Sie auf **Speichern**. ### API-Schlüssel ablaufen lassen Wenn Sie einen geheimen API-Schlüssel oder einen eingeschränkten API-Schlüssel ablaufen lassen, müssen Sie einen neuen erstellen und alle Codes aktualisieren, die den abgelaufenen Schlüssel verwenden. Alle Codes, die den abgelaufenen Schlüssel verwenden, können keine API-Aufrufe mehr durchführen. > Sie können einen veröffentlichbaren Schlüssel nicht ablaufen lassen. 1. On the [API keys](https://dashboard.stripe.com/test/apikeys) tab, in the **Restricted keys** or **Standard keys** list, click the overflow menu (⋯) for the key you want to expire. 1. Wählen Sie **Schlüssel ablaufen lassen** aus. 1. Klicken Sie im Dialogfeld auf **Schlüssel ablaufen lassen**. Wenn Sie den Schlüssel nicht mehr ablaufen lassen möchten, klicken Sie auf **Abbrechen**. ### Einen API-Schlüssel rotieren Durch Rotieren eines API-Schlüssels wird dieser widerrufen und ein Ersatzschlüssel generiert, der sofort verwendet werden kann. Sie können auch planen, dass ein API-Schlüssel nach einer bestimmten Zeit rotiert. Der Ersatzschlüssel wird wie folgt benannt: - Der Name des veröffentlichbaren Ersatzschlüssels ist immer `veröffentlichbarer Schlüssel`. - Der Name des Ersatz-Geheimschlüssels ist immer `Geheimschlüssel`. - Der eingeschränkte Ersatzschlüsselname ist derselbe wie der des rotierten Schlüssels. Sie können einen geheimen oder eingeschränkten API-Schlüssel umbenennen, indem Sie den Schlüssel bearbeiten. Rotieren Sie einen API-Schlüssel in folgenden Szenarien: - Wenn Sie im Live-Modus einen geheimen oder eingeschränkten API-Schlüssel verlieren und diesen nicht über das Dashboard wiederherstellen können. - Wenn ein geheimer oder eingeschränkter API-Schlüssel kompromittiert wird, müssen Sie ihn widerrufen, um potenzielle böswillige API-Anfragen zu blockieren, die ihn verwenden könnten. - Wenn ein Teammitglied mit Zugriff auf den Schlüssel Ihre Organisation verlässt oder die Rollen wechselt. - Wenn Ihre Richtlinie das Wechseln von Schlüsseln in bestimmten Intervallen erfordert. #### Einen API-Schlüssel rotieren 1. Klicken Sie auf der Registerkarte [API-Schlüssel](https://dashboard.stripe.com/test/apikeys) auf das Überlaufmenü (⋯) für den Schlüssel, den Sie rotieren möchten. 1. Wählen Sie **Schlüssel rotieren** aus. 1. Wählen Sie im Dropdown-Menü **Gültig bis**Ablaufdatum aus. Wenn Sie **Jetzt** auswählen, wird der alte Schlüssel gelöscht. Wenn Sie einen Zeitpunkt angeben, wird die verbleibende Zeit bis zum Ablauf des Schlüssels unter dem Schlüsselnamen angezeigt. 1. Klicken Sie auf **API-Schlüssel rotieren**. 1. Klicken Sie auf den Schlüsselwert, um ihn zu kopieren. 1. Speichern Sie den Schlüsselwert. Sie können ihn später nicht abrufen. 1. Geben Sie in das Feld **Notiz hinzufügen** den Speicherort ein, an dem Sie den Schlüssel gespeichert haben, und klicken Sie dann auf **Speichern** oder **Fertig**. ### Zugriff eines API-Schlüssels wiederherstellen Der Zugriff auf einen API-Schlüssel könnte eingeschränkt werden, wenn er länger als 180 Tage nicht zum Erstellen von Überweisungen, Auszahlungen oder zum Aktualisieren von Auszahlungszielen verwendet wurde. Mit einem Schlüssel mit eingeschränktem Zugriff können Sie keine Auszahlungen und Überweisungen erstellen oder Auszahlungsziele anlegen. Sie können den Zugriff wiederherstellen, um den Schlüssel normal zu verwenden oder eine gesperrte Aktion auszuführen. #### So stellen Sie den Zugriff für einen API-Schlüssel wieder her 1. Klicken Sie auf der Registerkarte [API-Schlüssel](https://dashboard.stripe.com/test/apikeys) auf das Überlaufmenü (⋯) für den Schlüssel, den Sie wiederherstellen möchten. 1. Wählen Sie **Zugriff wiederherstellen**. 1. Klicken Sie auf **Wiederherstellen**. ## View API request logs for a key Um [die API-Anfrage-Logs zu öffnen](https://docs.stripe.com/development/dashboard/request-logs.md), klicken Sie für einen beliebigen Schlüssel auf das Überlaufmenü (⋯) und wählen **Anfrage-Logs-anzeigen** aus. Durch Öffnen der Logs kehren Sie zum Stripe-Dashboard zurück. ## In den Live-Modus wechseln Wenn Sie bereit sind, echte Zahlungen zu akzeptieren, verwenden Sie API-Schlüssel für den Live-Modus anstelle von Sandbox-Schlüsseln (Testschlüsseln). Wechseln Sie auf der Seite [API-Schlüssel](https://dashboard.stripe.com/apikeys) vom **Sandbox-Modus** zum **Live-Modus**. Auf der Seite werden nun Ihre API-Schlüssel für den Live-Modus angezeigt. > #### Umfassende Checkliste zum Go-Live > > Switching API keys is only one step. Review the full [go-live checklist](https://docs.stripe.com/get-started/checklist/go-live.md) to make sure your integration is production ready. ### Veröffentlichbare Schlüssel (clientseitig) Copy your **live mode publishable key** (starts with `pk_live_`) and replace the `pk_test_` key in your client-side code. It’s safe to embed this key in your code or apps. ### Eingeschränkte oder geheime API-Schlüssel (serverseitig) Server-side API keys are sensitive, so review our [best practices for managing secret API keys](https://docs.stripe.com/keys-best-practices.md). We recommend generating [restricted API keys](https://docs.stripe.com/keys/restricted-api-keys.md) for your server-side code to limit the damage to your business if your keys are ever exposed or compromised. 1. Before you start using a live mode key in your backend application, remove any hardcoded API keys from your code. Instead, use a secrets vault or environment variable to supply the sandbox key, and confirm that your application still works. 1. [Reveal](https://docs.stripe.com/keys.md#reveal-an-api-key) and copy your **live mode keys** (which start with `rk_live_` or `sk_live_`) and store them securely in your server environment. 1. Konfigurieren Sie Ihre Serverumgebung so, dass Ihrer Anwendung Schlüssel für den Live-Modus anstelle von Sandbox-Schlüsseln bereitgestellt werden. #### Webhook signing keys (server-side) Wenn Sie Webhooks verwenden, aktualisieren Sie die URL jedes Webhook-Endpoints und kopieren Sie das neue **Signaturgeheimnis** aus dem Abschnitt [Webhooks](https://dashboard.stripe.com/webhooks) des Dashboards. ## API-Schlüssel der Organisation Wenn Sie mehrere Stripe-Unternehmenskonten in einer [Organisation](https://docs.stripe.com/get-started/account/orgs.md) haben, können Sie einen einzelnen API-Schlüssel auf Organisationsebene konfigurieren. API-Schlüssel auf Organisationsebene bieten die folgenden Funktionen: - **Zugriff auf jedes Konto**: Sie können API-Schlüssel der Organisation verwenden, um auf Ressourcen eines beliebigen Kontos innerhalb der Organisation zuzugreifen. - **Berechtigungen einschränken**: Schränken Sie die API-Schlüssel Ihrer Organisation ein, um Lese- oder Schreibberechtigungen nur für bestimmte Ressourcen zu erteilen. - **Zentrale Verwaltung**: Erstellen und verwalten Sie API-Schlüssel der Organisation unter der Registerkarte [API-Schlüssel](https://dashboard.stripe.com/org/api-keys/secret) im Dashboard Ihrer Organisation. ### Verhalten API-Schlüssel der Organisation verhalten sich anders als API-Schlüssel auf Kontoebene. Dazu zählt unter anderem: - Sie haben keinen veröffentlichbaren Schlüssel. Behandeln Sie alle API-Schlüssel der Organisation als geheime Schlüssel. - Sie haben alle das gleiche `sk_org`-Präfix, unabhängig von ihrer Berechtigungsstufe. - Alle API-Anfragen, die mit einem Organisations-API-Schlüssel gestellt werden, müssen den `Stripe-Context`-Header enthalten, um das betroffene Konto zu identifizieren. - Alle API-Anfragen, die mit einem Organisations-API-Schlüssel gestellt werden, müssen den `Stripe-Version`-Header enthalten, um Konsistenz und Vorhersehbarkeit über alle Integrationen Ihres Unternehmens hinweg zu gewährleisten. ### API-Schlüssel der Organisation verwenden Wenn Sie einen Organisationsschlüssel für die API verwenden, müssen Sie außerdem folgende Schritte ausführen: - Geben Sie eine API-Version an, indem Sie einen `Stripe-Version`-Header einfügen. Bei Verwendung eines [Stripe-SDK](https://docs.stripe.com/sdks/set-version.md) legt das SDK automatisch die API-Version fest. - Identifizieren Sie das von der API-Anfrage betroffene Konto, indem Sie den `Stripe-Context`-Header einfügen. Zum Beispiel bei folgender Organisationsstruktur: ``` Organization (org_6SD3oI0eSQemPzdmaGLJ5j6) ├── Platform account (acct_1R3fqDP6919yCiFv) | └── Connected account (acct_1032D82eZvKYlo2C) └── Standalone account (acct_1aTnTtAAB0hHJ26p) ``` Sie können den Schlüssel der Organisations-API verwenden, um auf das Guthaben des eigenständigen Kontos zuzugreifen. Sie können denselben Schlüssel auch verwenden, um denselben Aufruf für das verbundene Plattformkonto zu tätigen. ```curl curl https://api.stripe.com/v1/balance \ -u {{ORG_SECRET_KEY}}: \ -H "Stripe-Version: {{STRIPE_API_VERSION}}" \ -H "Stripe-Context: {{CONTEXT_ID}}" ``` Ersetzen Sie im vorherigen Codebeispiel `{{CONTEXT}}` durch den entsprechenden Wert: - Verwenden Sie `acct_1aTnTtAAB0hHJ26p` für das eigenständige Konto. - Verwenden Sie für das verbundene Konto einen Pfad, der sowohl die Plattform als auch das verbundene Konto identifiziert, und zwar im Format `acct_1R3fqDP6919yCiFv/acct_1032D82eZvKYlo2C`. Sie müssen das betreffende Konto über den Kontext und die API-Version in jeder API-Anfrage mit einem Organisationsschlüssel angeben. Organizations haben keine veröffentlichbaren API-Schlüssel, weil sie keine Zahlungen akzeptieren können. Sie können Ihren Organisations-API-Schlüssel verwenden, um PaymentIntent für jedes Konto in Ihrer Organisation zu erstellen. Für die clientseitigen Operationen müssen Sie jedoch bestehende kontospezifische, veröffentlichbare Schlüssel verwenden. ## Verwaltete API-Schlüssel Einige Plattformen von Drittanbietern, wie beispielsweise [Vercel](https://vercel.com/docs/integrations/ecommerce/stripe), können API-Schlüssel in Ihrem Auftrag erstellen und verwalten, wenn Sie deren Integration installieren. Diese Schlüssel werden als verwaltete API-Schlüssel bezeichnet und werden von der Plattform programmgesteuert erstellt, anstatt dass Sie sie manuell im Dashboard erstellen müssen. Verwaltete API-Schlüssel werden zusammen mit Ihren anderen Schlüsseln auf der Registerkarte [API-Schlüssel](https://dashboard.stripe.com/test/apikeys) angezeigt und mit dem Namen der Verwaltungsplattform gekennzeichnet. Die folgende Tabelle fasst die Unterschiede zwischen nicht verwalteten und verwalteten Schlüsseln zusammen. | | Nicht verwaltete Schlüssel | Verwaltete Schlüssel | | ------------------------ | -------------------------------------------------------------------------------- | ----------------------------------------------------------------------------------------------------------- | | Schlüsselerstellung | Sie erstellen Schlüssel im Dashboard | Die Plattform erstellt Schlüssel über die API | | Benutzerinteraktion | Sie kopieren Schlüssel aus dem Dashboard und konfigurieren sie auf der Plattform | Die Plattform übernimmt die Schlüsseleinrichtung automatisch | | Zustellung der Schlüssel | Wird Ihnen im Dashboard angezeigt | Direkt an die Plattform geliefert | | Schlüsselverwaltung | Sie kontrollieren die Rotation und das Ablaufen der Schlüssel. | Die Plattform verwaltet den Lebenszyklus der Schlüssel; Sie können die Schlüssel jederzeit ablaufen lassen. | ### Zugriff auf verwaltete Schlüssel widerrufen Sie können einen verwalteten API-Schlüssel jederzeit widerrufen, indem Sie eine der folgenden Maßnahmen ergreifen: - **Schlüssel ablaufen lassen**: Klicken Sie auf der Registerkarte [API-Schlüssel](https://dashboard.stripe.com/apikeys) auf das Überlaufmenü (⋯) für den verwalteten Schlüssel und lassen Sie ihn ablaufen. Dadurch wird der Zugriff der Plattform sofort widerrufen, ohne die Integration zu entfernen. - **Deinstalliere die Integration**: Deinstalliere die App der Plattform von deinem Stripe-Konto. Wenn du eine App deinstallierst, kannst du die verwalteten Schlüssel sofort ablaufen lassen oder aktiv lassen. ## See also - [Best Practices für die Verwaltung von geheimen API-Schlüsseln](https://docs.stripe.com/keys-best-practices.md) - [Schutz vor kompromittierten API-Schlüsseln](https://support.stripe.com/questions/protecting-against-compromised-api-keys) - [Warum hat mein API-Schlüssel nur eingeschränkten Zugriff?](https://support.stripe.com/questions/why-does-my-api-key-have-limited-access)