Weiter zum Inhalt
Konto erstellen oder anmelden
Das Logo der Stripe-Dokumentation
/
Konto erstellenAnmelden
Übersicht
Versionierung
Aktualisieren Sie Ihre API-Version
Essentials
Tools
Stripe für Visual Studio Code
Funktionen
Stripe-StatuswarnungenHochgeladene Dateien
KI-Lösungen
Model Context ProtocolAgentische KI-SaaS-Billing-Workflows aufbauen
Sicherheit und Datenschutz
Stripebot-Webcrawler
Stripe erweitern
Partner
Partner-Zertifizierung

API-Schlüssel

Verwenden Sie API-Schlüssel, um API-Anfragen zu authentifizieren.

Stripe authentifiziert Ihre API-Anfragen mithilfe der API-Schlüssel Ihres Kontos. Wenn eine Anfrage keinen gültigen Schlüssel enthält, gibt Stripe einen Fehler aufgrund einer ungültigen Anfrage zurück. Wenn eine Anfrage einen gelöschten oder abgelaufenen Schlüssel enthält, gibt Stripe einen Authentifizierungsfehler zurück.

Verwenden Sie das Entwickler-Dashboard, um API-Schlüssel zu erstellen, offenzulegen, zu löschen und zu rotieren. Sie können auf Ihre v1 API-Schlüssel über die Registerkarte API-Schlüssel zugreifen.

Schlüsseltypen

By default, all accounts have a total of four API keys:

TypeDescription
Sandbox secret keyAuthenticate requests on your server when you’re testing in a sandbox. By default, you can use this key to perform any API request without restriction. Reserve this key for testing and development to make sure you don’t accidentally modify your live customers or charges.
Sandbox publishable keyTest requests in your web or mobile app’s client-side code. Reserve this key for testing and development to make sure you don’t accidentally modify your live customers or charges.
Live mode secret keyAuthenticate requests on your server when in live mode. By default, you can use this key to perform any API request without restriction.
Live mode publishable keyWhen you’re ready to launch your app, use this key in your web or mobile app’s client-side code.

Your secret and publishable keys are on the API keys tab in the Dashboard. If you can’t view your API keys, ask the owner of your Stripe account to add you to their team with the proper permissions.

Eingeschränkte API-Schlüssel

Sie können eingeschränkte API-Schlüssel im Dashboard generieren, um einen anpassbaren und eingeschränkten Zugriff auf die API zu ermöglichen. Stripe bietet jedoch standardmäßig keine eingeschränkten Schlüssel an.

If you’re logged in to Stripe, our documentation populates code examples with your test API keys. Only you can see these values. If you’re not logged in, our code examples include randomly generated API keys that you can replace with your test keys. Or you can log in to see the code examples populated with your test API keys.

Example API keys

The following table shows randomly generated examples of secret and publishable keys:

TypWertWann diese eingesetzt werden
Geheimsk_test_BQokikJOvBiI2HlWgH4olfQ2Auf dem Server: Muss geheim und sicher im serverseitigen Code Ihrer Web- oder Mobil-App gespeichert sein (z. B. in einem Verwaltungssystem für Umgebungsvariablen oder Anmeldedaten), um Stripe-APIs aufzurufen. Stellen Sie diesen Schlüssel nicht auf einer Website zur Verfügung und betten Sie ihn nicht in eine mobile Anwendung ein.
Veröffentlichbarpk_test_TYooMQauvdEDq54NiTphI7jxOn the client side: Can be publicly accessible in your web or mobile app’s client-side code (such as checkout.js) to securely collect payment information (such as with Stripe Elements). By default, Stripe Checkout securely collects payment information.
EingeschränktEine Zeichenfolge, die mit rk_test_ beginnt.Über Microservices: Muss geheim und sicher in Ihrem Microservice-Code gespeichert sein, um Stripe-APIs aufzurufen. Veröffentlichen Sie diesen Schlüssel nicht auf Ihrer Website und betten Sie diesen auch nicht in eine mobile Anwendung ein.

Schützen Sie Ihre Schlüssel

Jeder kann Ihren geheimen API-Schlüssel im Live-Modus verwenden, um einen API-Aufruf im Namen Ihres Kontos durchzuführen, z. B. eine Zahlung zu erstellen oder eine Rückerstattung durchzuführen. Bewahren Sie Ihre geheimen API-Schlüssel sicher auf, indem Sie die folgenden Best Practices befolgen:

Sandbox im Vergleich zum Live-Modus

Alle Stripe-API-Anfragen erfolgen entweder in der Sandbox oder im Live-Modus. Verwenden Sie eine Sandbox, um auf Testdaten zuzugreifen, und den Live-Modus, um auf tatsächliche Kontodaten zuzugreifen. Jeder Modus verfügt über einen eigenen Satz API-Schlüssel. Objekte in einem Modus sind nicht gleichzeitig zugänglich. Zum Beispiel kann ein Sandbox-Produktobjekt im Live-Modus nicht Teil einer Zahlung sein.

Zugriff auf die Live-Modus-Schlüssel

Sie können einen geheimen oder eingeschränkten API-Schlüssel im Live-Modus nur einmal offenlegen. Wenn Sie ihn verlieren, können Sie ihn nicht über das Dashboard abrufen. Generieren Sie in diesem Fall einen neuen oder löschen Sie ihn und erstellen Sie dann einen neuen.

TypWann diese eingesetzt werdenObjekteVerwendungÜberlegungen
SandboxesVerwenden Sie eine Sandbox und die damit verbundenen Test-API-Schlüssel, wenn Sie Ihre Integration erstellen. In einer Sandbox wickeln Kartennetzwerke und Zahlungsanbieter keine Zahlungen ab.API-Aufrufe geben simulierte Objekte zurück. Sie können zum Beispiel die Testobjekte account, payment, customer, charge, refund, transfer, balance und subscription abrufen und verwenden.Verwenden Sie Testkreditkarten und -konten. Darüber können Sie allerdings keine echten Zahlungen akzeptieren oder mit echten Konten arbeiten.Identity führt keine Verifizierungsprüfungen durch. Connect-Kontenobjekte geben außerdem keine sensiblen Felder zurück.
Live modeVerwenden Sie den Live-Modus und die damit verbundenen Live-API-Schlüssel, wenn Sie bereit sind, Ihre Integration zu starten und echtes Zahlungen anzunehmen. Im Live-Modus werden Zahlungen von Kartennetzwerken und Zahlungsanbietern verarbeitet.API-Aufrufe geben echte Objekte zurück. Sie können zum Beispiel echte Objekte wie account, payment, customer, charge, refund, transfer, balance und subscription abrufen und verwenden.Akzeptieren Sie echte Kreditkarten und arbeiten Sie mit Kundenkonten. Sie können echte Zahlungsautorisierungen, Gebühren und Erfassungen für Kreditkarten und Konten akzeptieren.Zahlungsanfechtungen haben einen differenzierteren Ablauf und einen einfacheren Testvorgang. Außerdem haben einige Zahlungsmethoden einen differenzierteren Ablauf und es sind mehr Schritte erforderlich.

API-Schlüssel der Organisation

Wenn Sie mehrere Stripe-Unternehmenskonten in einer Organisation haben, können Sie einen einzelnen API-Schlüssel auf Organisationsebene konfigurieren. API-Schlüssel auf Organisationsebene bieten die folgenden Funktionen:

  • Zugriff auf jedes Konto: Sie können API-Schlüssel der Organisation verwenden, um auf Ressourcen eines beliebigen Kontos innerhalb der Organisation zuzugreifen.
  • Granulare Berechtigungen: Beschränken Sie die API-Schlüssel der Organisation, um nur bestimmten Ressourcen Lese- oder Schreibberechtigungen zu gewähren.
  • Zentrale Verwaltung: Erstellen und verwalten Sie API-Schlüssel der Organisation unter der Registerkarte API-Schlüssel im Dashboard Ihrer Organisation.

Verhalten

API-Schlüssel der Organisation verhalten sich anders als API-Schlüssel auf Kontoebene. Dazu zählt unter anderem:

  • Sie haben keinen veröffentlichbaren Schlüssel. Behandeln Sie alle API-Schlüssel der Organisation als geheime Schlüssel.
  • Sie haben alle das gleiche sk_org-Präfix, unabhängig von ihrer Berechtigungsstufe.
  • Alle API-Anfragen, die mit einem Organisations-API-Schlüssel gestellt werden, müssen den Stripe-Context-Header enthalten, um das betroffene Konto zu identifizieren.
  • Alle API-Anfragen, die mit einem Organisations-API-Schlüssel gestellt werden, müssen den Stripe-Version-Header enthalten, um Konsistenz und Vorhersehbarkeit über alle Integrationen Ihres Unternehmens hinweg zu gewährleisten.

API-Schlüssel der Organisation verwenden

Wenn Sie einen Organisationsschlüssel für die API verwenden, müssen Sie außerdem folgende Schritte ausführen:

  • Geben Sie eine API-Version an, indem Sie einen Stripe-Version-Header einfügen. Bei Verwendung eines Stripe-SDK legt das SDK automatisch die API-Version fest.
  • Identifizieren Sie das von der API-Anfrage betroffene Konto, indem Sie den Stripe-Context-Header einfügen.

Zum Beispiel bei folgender Organisationsstruktur:

Organization (org_6SD3oI0eSQemPzdmaGLJ5j6)
  ├── Platform account  (acct_1R3fqDP6919yCiFv)
  |   └── Connected account (acct_1032D82eZvKYlo2C)
  └── Standalone account (acct_1aTnTtAAB0hHJ26p)

Sie können den Schlüssel der Organisations-API verwenden, um auf das Guthaben des eigenständigen Kontos zuzugreifen. Sie können denselben Schlüssel auch verwenden, um denselben Aufruf für das verbundene Plattformkonto zu tätigen.

Command Line
cURL
Stripe CLI
Ruby
Python
PHP
Java
Node.js
Go
.NET
No results
curl https://api.stripe.com/v1/balance \
  -u {{ORG_SECRET_KEY}}: \
  -H "Stripe-Version: {{STRIPE_API_VERSION}}" \
  -H "Stripe-Context: 
{{CONTEXT}}
"

In the preceding code example, replace {{CONTEXT}} with the relevant value:

  • Verwenden Sie acct_1aTnTtAAB0hHJ26p für das eigenständige Konto.
  • Verwenden Sie für das verbundene Konto einen Pfad, der sowohl die Plattform als auch das verbundene Konto identifiziert, und zwar im Format acct_1R3fqDP6919yCiFv/acct_1032D82eZvKYlo2C.

Sie müssen das betreffende Konto über den Kontext und die API-Version in jeder API-Anfrage mit einem Organisationsschlüssel angeben.

Organizations haben keine veröffentlichbaren API-Schlüssel, weil sie keine Zahlungen akzeptieren können. Sie können Ihren Organisations-API-Schlüssel verwenden, um PaymentIntent für jedes Konto in Ihrer Organisation zu erstellen. Für die clientseitigen Operationen müssen Sie jedoch bestehende kontospezifische, veröffentlichbare Schlüssel verwenden.

Geheime und eingeschränkte Schlüssel

Verwenden Sie das Dashboard, um geheime und eingeschränkte Schlüssel zu erstellen, offenzulegen, zu ändern, zu löschen und zu rotieren.

API-Schlüssel erstellen

Sie können einen geheimen API-Schlüssel oder einen eingeschränkten API-Schlüssel erstellen. Ein eingeschränkter API-Schlüssel lässt nur die von Ihnen angegebene Zugriffsebene zu.

So erstellen Sie einen geheimen API-Schlüssel

  1. Klicken Sie auf der Registerkarte API-Schlüssel auf Geheimschlüssel erstellen.
  2. Geben Sie im Dialogfeld den Verifizierungscode ein, den Stripe Ihnen per E-Mail oder Textnachricht zusendet. Wenn das Dialogfeld nicht automatisch fortgesetzt wird, klicken Sie auf Weiter.
  3. Geben Sie einen Namen in das Feld Schlüsselname ein und klicken Sie dann auf Erstellen.
  4. Klicken Sie auf den Schlüsselwert, um ihn zu kopieren.
  5. Speichern Sie den Schlüsselwert. Sie können ihn später nicht abrufen.
  6. Geben Sie in das Feld Notiz hinzufügen den Speicherort ein, an dem Sie den Schlüssel gespeichert haben, und klicken Sie dann auf Fertig.

So erstellen Sie einen eingeschränkten API-Schlüssel

  1. Führen Sie unter der Registerkarte API-Schlüssel eine der folgenden Aktionen aus:
    • Um einen neuen eingeschränkten Schlüssel zu erstellen, klicken Sie auf Eingeschränkten Schlüssel erstellen. Der Standardwert für alle Berechtigungen ist Keine.
    • Um einen bestehenden Schlüssel zu klonen, klicken Sie in der Zeile mit dem Schlüssel, den Sie klonen möchten, auf das Überlaufmenü () und wählen Sie dann Schlüssel duplizieren aus. In diesem Fall ist der Standardwert für jede Berechtigung der Wert von dem geklonten Schlüssel.
  2. Geben Sie im Feld Schlüsselname einen Namen ein. Wenn Sie einen bestehenden Schlüssel geklont haben, ist der Standardname der Name des geklonten Schlüssels.
  3. Wählen Sie für jede Ressource, auf die Sie mit dem neuen Schlüssel zugreifen möchten, die entsprechende Berechtigung aus : Keine, Lesen oder Schreiben. Wenn Sie Connect verwenden, können Sie auch die Berechtigung für diesen Schlüssel auswählen, um auf verbundene Konten zuzugreifen.
  4. Klicken Sie auf Schlüssel erstellen.
  5. Geben Sie im Dialogfeld den Verifizierungscode ein, den Stripe Ihnen per E-Mail oder Textnachricht zusendet. Wenn das Dialogfeld nicht automatisch fortgesetzt wird, klicken Sie auf Weiter.
  6. Klicken Sie auf den Schlüsselwert, um ihn zu kopieren.
  7. Speichern Sie den Schlüsselwert. Sie können ihn später nicht abrufen.
  8. Geben Sie in das Feld Notiz hinzufügen den Speicherort ein, an dem Sie den Schlüssel gespeichert haben, und klicken Sie dann auf Fertig.

Einen API-Schlüssel offenlegen

In einer Sandbox oder im Live-Modus können Sie einen geheimen API-Schlüssel oder einen eingeschränkten API-Schlüssel offenlegen.

Aus Sicherheitsgründen zeigt Stripe Ihnen im Live-Modus den API-Schlüssel nur einmal an. Bewahren Sie den Schlüssel an einem sicheren Ort auf, an dem Sie ihn nicht verlieren können. Damit Sie sich leichter merken können, wo Sie ihn aufbewahren, können Sie eine Notiz zum Schlüssel im Dashboard hinterlassen. Wenn Sie den Schlüssel verlieren, können Sie ihn neu generieren oder löschen und einen neuen erstellen.

Geheimschlüssel im Live-Modus offenlegen

Nachdem Sie im Live-Modus einen geheimen oder eingeschränkten API-Schlüssel erstellt haben, wird dieser angezeigt, bevor Sie ihn speichern. Sie müssen den Schlüssel vor dem Speichern kopieren, da Sie ihn später nicht mehr kopieren können. Sie können nur einen Standard-Geheimschlüssel oder einen durch eine geplante Rotation generierten Schlüssel einblenden.

So legen Sie einen geheimen API-Schlüssel in einer Sandbox offen

  1. Klicken Sie unter der Registerkarte API-Schlüssel in der Liste Standardschlüssel in der Zeile Geheimschlüssel auf Testschlüssel offenlegen. Sie können den geheimen API-Schlüssel beliebig oft offenlegen.
  2. Klicken Sie auf den Schlüsselwert, um ihn zu kopieren.
  3. Speichern Sie den Schlüsselwert.
  4. Klicken Sie auf Test-Schlüssel ausblenden.

Einen geheimen oder eingeschränkten API-Schlüssel für den Live-Modus offenlegen

  1. Klicken Sie unter der Registerkarte API-Schlüssel im Live-Modus in der Liste Standardschlüssel oder Eingeschränkte Schlüssel auf Live-Schlüssel offenlegen für den Schlüssel, den Sie offenlegen möchten.
  2. Klicken Sie auf den Schlüsselwert, um ihn zu kopieren.
  3. Speichern Sie den Schlüsselwert.
  4. Klicken Sie auf Test-Schlüssel ausblenden.
  5. Klicken Sie auf das Überlaufmenü () und wählen Sie dann Schlüssel bearbeiten aus.
  6. Geben Sie in das Feld Notiz den Ort ein, an dem Sie den Schlüssel gespeichert haben, und klicken Sie dann auf Speichern.

Hinweis

Schlüssel, die Sie erstellt haben, bevor Stripe diese Funktion eingeführt hat, werden nicht automatisch ausgeblendet, wenn sie offengelegt werden. Sie müssen sie manuell ausblenden, indem Sie auf Live-Schlüssel ausblenden klicken.

API-Schlüssel auf bestimmte IP-Adressen beschränken

Sie können einen geheimen API-Schlüssel oder einen eingeschränkten API-Schlüssel auf einen Bereich von IP-Adressen oder eine oder mehrere bestimmte IP-Adressen beschränken.

Die IP-Adressen müssen das IPv4-Protokoll verwenden. Sie können jeden gültigen CIDR-Bereich angeben. Ein gültiger Bereich wäre zum Beispiel 100.10.38.0 - 100.10.38.255, angegeben als 100.10.38.0/24. Alle IP-Adressen in dem Bereich müssen mit 100.10.38 beginnen.

  1. Klicken Sie auf der Registerkarte API-Schlüssel in der Liste Standardschlüssel oder Eingeschränkte Schlüssel auf das Überlaufmenü () für den Schlüssel, den Sie offenlegen möchten.

  2. Wählen Sie IP-Einschränkungen verwalten > Nutzung auf eine Reihe von IP-Adressen beschränken aus.

  3. Führen Sie einen der folgenden Schritte aus:

    • Geben Sie im Feld IP-Adresse eine einzelne IP-Adresse ein.
    • Geben Sie für einen Bereich von IP-Adressen den Bereich in CIDR-Notation (Classless Inter-Domain Routing) ein. Geben Sie im Feld IP-Adresse die erste Adresse im Bereich ein. Geben Sie im Feld CIDR die Netzwerkpräfixgröße ein.

    Sie können auch die Registerkarte Massenweise verwalten auswählen und einzelne IP-Adressen und -bereiche durch Leerzeichen getrennt eingeben. Änderungen, die Sie in einer Registerkarte vornehmen, werden in der anderen Registerkarte angezeigt.

  4. Um eine weitere IP-Adresse oder einen anderen IP-Bereich hinzuzufügen, klicken Sie auf + Hinzufügen.

  5. Klicken Sie auf Speichern.

Name oder Notiz eines API-Schlüssels ändern

  1. Klicken Sie auf der Registerkarte API-Schlüssel auf das Überlaufmenü () für den Schlüssel, den Sie ändern möchten.
  2. Wählen Sie Schlüssel bearbeiten aus.
  3. Führen Sie Folgendes aus:
    • Um den Namen zu ändern, geben Sie einen neuen Namen in das Feld Schlüsselname ein.
    • Wenn Sie den Text der Notiz ändern möchten, geben Sie unter Notiz den neuen ́Text ein.
  4. Klicken Sie auf Speichern.

Einen API-Schlüssel löschen

Wenn Sie einen geheimen API-Schlüssel oder einen eingeschränkten API-Schlüssel löschen, müssen Sie einen neuen erstellen und jeden Code aktualisieren, der den gelöschten Schlüssel verwendet. Jeder Code, der den gelöschten Schlüssel verwendet, kann keine API-Aufrufe mehr durchführen.

Hinweis

Sie können einen veröffentlichbaren Schlüssel nicht löschen.

  1. Klicken Sie unter der Registerkarte API-Schlüssel in der Liste Standardschlüssel oder Eingeschränkte Schlüssel auf das Überlaufmenü () für den Schlüssel, den Sie löschen möchten.
  2. Wählen Sie Schlüssel löschen aus.
  3. Klicken Sie im Dialogfeld auf Schlüssel löschen. Wenn Sie den Schlüssel nicht mehr löschen möchten, klicken Sie auf Abbrechen.

Einen API-Schlüssel rotieren

Durch Rotieren eines API-Schlüssels wird dieser widerrufen und ein Ersatzschlüssel generiert, der sofort verwendet werden kann. Sie können auch planen, dass ein API-Schlüssel nach einer bestimmten Zeit rotiert. Der Ersatzschlüssel wird wie folgt benannt:

  • Der Name des veröffentlichbaren Ersatzschlüssels ist immer veröffentlichbarer Schlüssel.
  • Der Name des Ersatz-Geheimschlüssels ist immer Geheimschlüssel.
  • Der eingeschränkte Ersatzschlüsselname ist derselbe wie der des rotierten Schlüssels.

Sie können einen geheimen oder eingeschränkten API-Schlüssel umbenennen, indem Sie den Schlüssel bearbeiten.

Rotieren Sie einen API-Schlüssel in folgenden Szenarien:

  • Wenn Sie im Live-Modus einen geheimen oder eingeschränkten API-Schlüssel verlieren und diesen nicht über das Dashboard wiederherstellen können.
  • Wenn ein geheimer oder eingeschränkter API-Schlüssel kompromittiert wird, müssen Sie ihn widerrufen, um potenzielle böswillige API-Anfragen zu blockieren, die ihn verwenden könnten.
  • Wenn Ihre Richtlinie das Wechseln von Schlüsseln in bestimmten Intervallen erfordert.

Einen API-Schlüssel rotieren

  1. Klicken Sie auf der Registerkarte API-Schlüssel auf das Überlaufmenü () für den Schlüssel, den Sie rotieren möchten.
  2. Wählen Sie Schlüssel rotieren aus.
  3. Wählen Sie im Dropdown-Menü Gültig bisAblaufdatum aus. Wenn Sie Jetzt auswählen, wird der alte Schlüssel gelöscht. Wenn Sie einen Zeitpunkt angeben, wird die verbleibende Zeit bis zum Ablauf des Schlüssels unter dem Schlüsselnamen angezeigt.
  4. Klicken Sie auf API-Schlüssel rotieren.
  5. Klicken Sie auf den Schlüsselwert, um ihn zu kopieren.
  6. Speichern Sie den Schlüsselwert. Sie können ihn später nicht abrufen.
  7. Geben Sie in das Feld Notiz hinzufügen den Speicherort ein, an dem Sie den Schlüssel gespeichert haben, und klicken Sie dann auf Speichern oder Fertig.

API-Anfrage-Logs anzeigen

Um die API-Anfrage-Logs zu öffnen, klicken Sie für einen beliebigen Schlüssel auf das Überlaufmenü () und wählen Anfrage-Logs-anzeigen aus. Durch Öffnen der Logs kehren Sie zum Stripe-Dashboard zurück.

Ähnliche Leitfäden
Ihre Integration testen
Anwendungsszenarien für Tests