Weiter zum Inhalt
Konto erstellen
 oder
anmelden
Das Logo der Stripe-Dokumentation
/
Konto erstellen
Anmelden

API-Schlüssel

Verwenden Sie API-Schlüssel, um API-Anfragen zu authentifizieren.

Seite kopieren

Stripe authentifiziert Ihre API-Anfragen mithilfe der API-Schlüssel Ihres Kontos. Wenn eine Anfrage keinen gültigen Schlüssel enthält, gibt Stripe einen Fehler aufgrund einer ungültigen Anfrage zurück. Wenn eine Anfrage einen gelöschten oder abgelaufenen Schlüssel enthält, gibt Stripe einen Authentifizierungsfehler zurück.

Verwenden Sie das Entwickler-Dashboard, um API-Schlüssel zu erstellen, anzuzeigen, zu löschen und zu rotieren. Um auf Ihre v1 API-Schlüssel zuzugreifen, wählen Sie die Registerkarte API-Schlüssel in Ihrem Dashboard aus.

Schlüsseltypen

By default, all accounts have a total of four API keys, two in a sandbox and two in live mode:

  • Sandbox secret key: Use this key to authenticate requests on your server when you’re testing in a sandbox. By default, you can use this key to perform any API request without restriction. Reserve this key for testing and development to make sure that you don’t accidentally modify your live customers or charges.
  • Sandbox publishable key: Use this key for testing purposes in your web or mobile app’s client-side code. Reserve this key for testing and development to make sure that you don’t accidentally modify your live customers or charges.
  • Geheimschlüssel für den Live-Modus: Verwenden Sie diesen Schlüssel, um Anfragen auf Ihrem Server im Live-Modus zu authentifizieren. Standardmäßig können Sie diesen Schlüssel verwenden, um jede API-Anfrage ohne Einschränkungen durchzuführen.
  • Veröffentlichbarer Schlüssel im Live-Modus: Verwenden Sie diesen Schlüssel im clientseitigen Code Ihrer Web- oder Mobil-App, wenn Sie bereit sind, Ihre App zu starten.

Your secret and publishable keys are in the Dashboard in the API keys tab. If you can’t view your API keys, ask the owner of your Stripe account to add you to their team with the proper permissions.

Eingeschränkte API-Schlüssel

You can generate restricted API keys in the Dashboard to enable customizable and limited access to the API. However, Stripe doesn’t offer any restricted keys by default.

When you’re logged in to Stripe, our documentation automatically populates code examples with your test API keys. Only you can see these values. If you’re not logged in, our code examples include randomly generated API keys. You can replace them with your own test keys or log in to see the code examples populated with your test API keys.

Die folgende Tabelle zeigt zufällig generierte Beispiele für geheime und veröffentlichbare Test-API-Schlüssel:

TypWertWann diese eingesetzt werden
Geheimsk_test_BQokikJOvBiI2HlWgH4olfQ2Auf dem Server: Muss geheim und sicher im serverseitigen Code Ihrer Web- oder Mobil-App gespeichert sein (z. B. in einem Verwaltungssystem für Umgebungsvariablen oder Anmeldedaten), um Stripe-APIs aufzurufen. Stellen Sie diesen Schlüssel nicht auf einer Website zur Verfügung und betten Sie ihn nicht in eine mobile Anwendung ein.
Veröffentlichbarpk_test_TYooMQauvdEDq54NiTphI7jxAuf dem Client: Kann im clientseitigen Code Ihrer Web- oder Mobil-App (z. B. checkout.js) öffentlich zugänglich sein, um z. B. mit Stripe Elements Zahlungsinformationen sicher zu erfassen. Standardmäßig erfasst Stripe Checkout Zahlungsinformationen auf sichere Weise.
EingeschränktEine Zeichenfolge, die mit rk_test_ beginnt.Über Microservices: Muss geheim und sicher in Ihrem Microservice-Code gespeichert sein, um Stripe-APIs aufzurufen. Veröffentlichen Sie diesen Schlüssel nicht auf Ihrer Website und betten Sie diesen auch nicht in eine mobile Anwendung ein.

Sandbox im Vergleich zum Live-Modus

Alle Stripe API-Anfragen erfolgen entweder in einer Sandbox oder im Live-Modus. Verwenden Sie eine Sandbox, um auf Testdaten zuzugreifen, und den Live-Modus, um auf tatsächliche Kontodaten zuzugreifen. Jeder Modus verfügt über einen eigenen Satz von API-Schlüsseln. Objekte in einem Modus sind für den anderen Modus nicht zugänglich. Zum Beispiel kann ein Sandbox-Produktobjekt nicht Teil einer Zahlung im Live-Modus sein.

Zugriff auf die Live-Modus-Schlüssel

Sie können einen geheimen oder eingeschränkten API-Schlüssel im Live-Modus nur einmal offenlegen. Wenn Sie ihn verlieren, können Sie ihn nicht über das Dashboard abrufen. Rotieren Sie ihn in diesem Fall oder löschen Sie ihn und erstellen Sie einen neuen.

TypWann diese eingesetzt werdenObjekteVerwendungÜberlegungen
sandboxesUse a sandbox, and its associated test API keys, as you build your integration. In a sandbox, card networks and payment providers don’t process payments.API-Aufrufe geben simulierte Objekte zurück. Sie können zum Beispiel die Testobjekte account, payment, customer, charge, refund, transfer, balance und subscription abrufen und verwenden.Verwenden Sie Testkreditkarten und -konten. Darüber können Sie allerdings keine echten Zahlungen akzeptieren oder mit echten Konten arbeiten.Identity führt keine Verifizierungsprüfungen durch. Connect-Kontenobjekte geben außerdem keine sensiblen Felder zurück.
Live-ModusVerwenden Sie den Live-Modus und die damit verbundenen Live-API-Schlüssel, wenn Sie bereit sind, Ihre Integration zu starten und echtes Zahlungen anzunehmen. Im Live-Modus werden Zahlungen von Kartennetzwerken und Zahlungsanbietern verarbeitet.API-Aufrufe geben echte Objekte zurück. Sie können zum Beispiel echte Objekte wie account, payment, customer, charge, refund, transfer, balance und subscription abrufen und verwenden.Akzeptieren Sie echte Kreditkarten und arbeiten Sie mit Kundenkonten. Sie können echte Zahlungsautorisierungen, Gebühren und Erfassungen für Kreditkarten und Konten akzeptieren.Zahlungsanfechtungen haben einen differenzierteren Ablauf und einen einfacheren Testvorgang. Außerdem haben einige Zahlungsmethoden einen differenzierteren Ablauf und es sind mehr Schritte erforderlich.

Einen API-Schlüssel rotieren

Durch Rotieren eines Schlüssels wird dieser widerrufen und ein Ersatzschlüssel generiert. Sie können einen Schlüssel sofort rotieren oder einen Schlüssel so planen, dass er nach einer bestimmten Zeit rotiert. Rotieren Sie einen Schlüssel in Szenarien wie den folgenden:

  • Wenn Sie sich im Live-Modus befinden und einen geheimen oder eingeschränkten Schlüssel verlieren, können Sie diesen nicht über das Dashboard wiederherstellen und müssen ihn ersetzen.
  • Wenn ein geheimer oder eingeschränkter Schlüssel kompromittiert wird, müssen Sie ihn widerrufen, um potenzielle böswillige API-Anfragen zu blockieren, die ihn verwenden könnten.
  • Ihre Richtlinie erfordert das Wechseln von Schlüsseln in bestimmten Intervallen.

So rotieren Sie einen API-Schlüssel:

  1. Öffnen Sie die Seite API-Schlüssel.
  2. Klicken Sie in der Zeile für den Schlüssel, den Sie rotieren möchten, auf das Überlaufmenü () und wählen Sie dann Schlüssel rotieren aus.
  3. Wählen Sie ein Ablaufdatum aus dem Dropdown-Menü Ablaufdatum aus.
  4. Klicken Sie auf API-Schlüssel rotieren.
  5. Das Dialogfeld zeigt den neuen Schlüsselwert an. Kopieren Sie es, indem Sie es anklicken.
  6. Speichern Sie den Schlüsselwert. Sie können ihn später nicht abrufen.
  7. Geben Sie in das Feld Notiz hinzufügen den Ort ein, an dem Sie den Schlüssel gespeichert haben, und klicken Sie auf Fertig oder Speichern.

Wenn Sie als Ablaufdatum Jetzt ausgewählt haben, löschen wir den alten Schlüssel. Wenn Sie eine andere Zeit ausgewählt haben, können Sie die verbleibende Zeit bis zum Ablauf des Schlüssels unter seinem Namen anzeigen.

Unabhängig von der Ablaufzeit des alten Schlüssels kann der neue Schlüssel sofort verwendet werden.

Wenn Sie einen veröffentlichbaren Schlüssel rotieren, lautet der Name des Ersatzschlüssels immer Publishable key. Wenn Sie einen geheimen Schlüssel rotieren, lautet der Name des Ersatzschlüssels immer Secret key. Wenn Sie einen eingeschränkten Schlüssel rotieren, ist der Name des Ersatzschlüssels derselbe wie der des rotierten Schlüssels. Sie können einen geheimen oder eingeschränkten Schlüssel umbenennen, indem Sie auf das zugehörige Überlaufmenü klicken und Schlüssel bearbeiten auswählen.

API-Anfrageprotokolle anzeigen

Um die API-Anfrageprotokolle zu öffnen, klicken Sie für einen beliebigen Schlüssel auf das Überlaufmenü () und wählen Anfrageprotokolle anzeigen aus. Durch Öffnen der Protokolle kehren Sie zur Startseite des Stripe-Dashboards zurück.

Geheime und eingeschränkte Schlüssel

Verwenden Sie das Dashboard, um geheime und eingeschränkte Schlüssel zu erstellen, zu löschen, einzublenden und zu ändern.

Einen geheimen API-Schlüssel erstellen

So erstellen Sie einen geheimen API-Schlüssel:

  1. Öffnen Sie die Seite API-Schlüssel.
  2. Klicken Sie auf Geheimschlüssel erstellen.
  3. Stripe sendet Ihnen einen Verifizierungscode an Ihre hinterlegte E-Mail-Adresse oder Handynummer. (Wie dies bei E-Mails und Textnachrichten der Fall sein kann, kommt die Nachricht möglicherweise nicht sofort an.) Geben Sie den Code in das Dialogfeld ein. Wenn das Dialogfeld nicht automatisch fortgesetzt wird, klicken Sie auf Weiter.
  4. Geben Sie in das Feld Schlüsselname einen Namen ein.
  5. Klicken Sie auf Erstellen.
  6. Das Dialogfeld zeigt den neuen Schlüsselwert an. Kopieren Sie es, indem Sie es anklicken.
  7. Speichern Sie den Schlüsselwert. Sie können ihn später nicht abrufen.
  8. Geben Sie in das Feld Notiz hinzufügen den Ort ein, an dem Sie den Schlüssel gespeichert haben, und klicken Sie auf Fertig.

Einen eingeschränkten API-Schlüssel erstellen

Ein eingeschränkter API Schlüssel gestattet nur die von Ihnen angegebene Zugriffsebene.

So erstellen Sie einen eingeschränkten API-Schlüssel:

  1. Öffnen Sie die Seite API-Schlüssel.
  2. Sie können einen eingeschränkten Schlüssel von Grund auf neu erstellen oder mit dem Klonen eines vorhandenen eingeschränkten Schlüssels beginnen.
    • Um einen eingeschränkten Schlüssel von Grund auf zu erstellen, klicken Sie auf Eingeschränkten Schlüssel erstellen. In diesem Fall ist der Standardwert für alle Berechtigungen Keine.
    • Um einen bestehenden Schlüssel zu klonen, klicken Sie in der Zeile für den Schlüssel, den Sie klonen möchten auf das Überlaufmenü () und wählen Sie dann Schlüssel duplizieren aus. In diesem Fall ist der Standardwert für jede Berechtigung der Wert im geklonten Schlüssel.
  3. Geben Sie im Feld Schlüsselname einen Namen ein. Wenn Sie einen bestehenden Schlüssel geklont haben, ist der Standardname der Name des geklonten Schlüssels.
  4. Wählen Sie für jede Ressource, auf die Sie mit dem neuen Schlüssel zugreifen möchten, die Berechtigung aus, die Sie für den Schlüssel zulassen möchten. Wenn Sie Connect verwenden, können Sie auch die Berechtigung auswählen, um diesen Schlüssel beim Zugriff auf verbundene Konten zuzulassen. Folgende Berechtigungen sind verfügbar: Keine, Lesen oder Schreiben.
  5. Klicken Sie auf Schlüssel erstellen.
  6. Stripe sendet Ihnen einen Verifizierungscode an Ihre hinterlegte E-Mail-Adresse oder Handynummer. (Wie dies bei E-Mails und Textnachrichten der Fall sein kann, kommt die Nachricht möglicherweise nicht sofort an.) Geben Sie den Code in das Dialogfeld ein. Wenn das Dialogfeld nicht automatisch fortgesetzt wird, klicken Sie auf Weiter.
  7. Das Dialogfeld zeigt den neuen Schlüsselwert an. Kopieren Sie es, indem Sie es anklicken.
  8. Speichern Sie den Schlüsselwert. Sie können ihn später nicht abrufen.
  9. Geben Sie in das Feld Notiz hinzufügen den Ort ein, an dem Sie den Schlüssel gespeichert haben, und klicken Sie auf Fertig.

Einen geheimen oder eingeschränkten API-Schlüssel löschen

Wenn Sie einen Schlüssel löschen, kann Code, der diesen Schlüssel verwendet, keine API-Aufrufe mehr durchführen. Nachdem Sie einen Schlüssel gelöscht haben, erstellen Sie einen neuen und aktualisieren Sie den Code, um ihn zu verwenden.

Notiz

Sie können einen veröffentlichbaren Schlüssel nicht löschen.

So löschen Sie einen Schlüssel:

  1. Wählen Sie im Entwickler-Dashboard die Registerkarte API-Schlüssel aus.
  2. Suchen Sie in der Liste Standard-Schlüssel oder Eingeschränkte Schlüsselnach dem Schlüssel, den Sie löschen möchten. Klicken Sie in der Zeile dieses Schlüssels auf das Überlaufmenü () und wählen Sie dann Schlüssel löschen aus.
  3. Wenn Sie den Schlüssel wirklich löschen möchten, klicken Sie im Dialogfeld API-Schlüssel löschen auf Schlüssel löschen. Klicken Sie andernfalls auf Abbrechen.

Einen geheimen API Schlüssel in einer Sandbox offenlegen

Mit Sandboxes können Sie einen geheimen API-Schlüssel so oft offenlegen, wie Sie möchten.

So legen Sie einen Geheimschlüssel in einer Sandbox offen:

  1. Wählen Sie im Entwickler-Dashboard die Registerkarte API-Schlüssel aus.
  2. Klicken Sie in der Liste Standard-Schlüssel in der Zeile Geheimschlüssel auf Testschlüssel einblenden.
  3. Kopieren Sie den Schlüsselwert, indem Sie darauf klicken.
  4. Speichern Sie den Schlüsselwert.
  5. Klicken Sie auf Test-Schlüssel ausblenden.

Einen geheimen oder eingeschränkten API Schlüssel für den Live-Modus offenlegen

Im Live-Modus zeigt Ihnen Stripe einen geheimen oder eingeschränkten API-Schlüssel nur einmal an (aus Sicherheitsgründen). Bewahren Sie den Schlüssel an einem Ort auf, an dem Sie ihn nicht verlieren können. Damit Sie sich leichter merken können, wo Sie ihn gespeichert haben, können Sie eine Notiz für den Schlüssel im Dashboard hinterlassen. Wenn Sie den Schlüssel verlieren, können Sie ihn rotieren oder löschen und einen neuen erstellen.

Sie können einen Live-Modus-Geheimschlüssel, den Sie erstellt haben, nicht offenlegen

Nachdem Sie im Live-Modus einen geheimen oder eingeschränkten API-Schlüssel erstellt haben, wird dieser angezeigt, bevor Sie ihn speichern. Sie müssen den Schlüssel vor dem Speichern kopieren, da Sie ihn später nicht mehr kopieren können. Sie können nur einen Standard-Geheimschlüssel oder einen durch eine geplante Rotation generierten Schlüssel einblenden.

So legen Sie einen geheimen oder eingeschränkten Schlüssel im Live-Modus offen und fügen eine Notiz hinzu:

Notiz

Der Link „API-Schlüssel“ wird im Live-Modus geöffnet.

  1. Wählen Sie im Entwickler-Dashboard die Registerkarte API-Schlüssel aus.
  2. Klicken Sie in der Liste Standard-Schlüssel oder Eingeschränkte Schlüssel in der Zeile für den Schlüssel, den Sie anzeigen möchten, auf Live-Schlüssel einblenden.
  3. Kopieren Sie den Schlüsselwert, indem Sie darauf klicken.
  4. Speichern Sie den Schlüsselwert.
  5. Klicken Sie auf Test-Schlüssel ausblenden.
  6. Klicken Sie neben dem Schlüssel auf das Überlaufmenü () und wählen Sie Schlüssel bearbeiten aus.
  7. Geben Sie in das Feld Hinweis den Ort ein, an dem Sie den Schlüssel gespeichert haben, und klicken Sie auf Speichern.
  8. Wenn Sie den Schlüssel erstellt haben, bevor Stripe diese Funktion eingeführt hat, klicken Sie auf Live-Schlüssel ausblenden.

Notiz

Schlüssel, die Sie erstellt haben, bevor Stripe diese Funktion eingeführt hat, werden nicht automatisch ausgeblendet, wenn sie offengelegt werden. Sie müssen sie manuell ausblenden.

Geheime oder eingeschränkte Schlüssel auf eine Liste oder einen Bereich von IP-Adressen beschränken

So begrenzen API-Anfragen mithilfe eines Schlüssels auf eine oder mehrere bestimmte IP-Adressen oder auf einen Bereich von IP-Adressen:

Gültige IP-Adressbereiche

Sie können einen beliebigen gültigen CIDR-Bereich angeben. Zum Beispiel könnte ein gültiger Bereich 100.10.38.0 - 100.10.38.255 sein, angegeben als 100.10.38.0/24. Alle Adressen im Bereich müssen mit 100.10.38 beginnen.

  1. Öffnen Sie die Seite API-Schlüssel.
  2. Klicken Sie in der Liste Standard-Schlüssel oder Eingeschränkte Schlüssel in der Zeile für den Schlüssel, den Sie anzeigen möchten, auf das Überlaufmenü () und wählen Sie dann IP-Einschränkungen verwalten aus.
  3. Klicken Sie auf Nutzung auf eine Reihe von IP-Adressen beschränken.
  4. Geben Sie eine IP-Adresse oder einen IP-Adressbereich ein:
    • Bei einer individuellen IP-Adresse geben Sie diese in das Feld IP-Adresse ein.
    • Geben Sie bei einem Bereich von IP-Adressen den Bereich in CIDR-Notation (Classless Inter-Domain Routing) ein. Geben Sie im Feld IP-Adresse die erste Adresse im Bereich ein. Geben Sie im Feld CIDR die Netzwerkpräfixgröße ein.
    • Sie können auch die Registerkarte Massenweise verwalten auswählen und einzelne IP-Adressen und -bereiche durch Leerzeichen getrennt eingeben. Änderungen, die Sie in einer Registerkarte vornehmen, werden in der anderen Registerkarte angezeigt.
  5. Um eine weitere Adresse oder einen weiteren Bereich hinzuzufügen, klicken Sie auf + Hinzufügen.
  6. Klicken Sie auf Speichern.

Namen oder Hinweise eines geheimen oder eingeschränkten API-Schlüssels ändern

So ändern Sie den Namen oder den Notiztext eines geheimen oder eingeschränkten Schlüssels:

  1. Öffnen Sie die Seite API-Schlüssel.
  2. Klicken Sie in der Zeile für den Schlüssel, den Sie ändern möchten, auf das Überlaufmenü () und wählen Sie dann Schlüssel bearbeiten aus.
  3. Wenn Sie den Namen ändern möchten, geben Sie unter Schlüsselname den neuen Namen ein.
  4. Wenn Sie den Text der Notiz ändern möchten, geben Sie unter Notiz den neuen ´Text ein.
  5. Klicken Sie auf Speichern.

Bewahren Sie Ihre Schlüssel sicher auf

Jede beliebige Person kann Ihren API-Geheimschlüssel im Live-Modus verwenden, um jeden gewünschten API-Aufruf im Namen Ihres Kontos durchzuführen. So können beispielsweise Zahlungen erstellt oder Rückerstattungen durchgeführt werden. Bewahren Sie Ihre Schlüssel sicher auf, indem Sie die Best Practices für API-Geheimschlüssel befolgen.

War diese Seite hilfreich?
JaNein
Benötigen Sie Hilfe? Kontaktieren Sie den Kundensupport.
Nehmen Sie an unserem Programm für frühzeitigen Zugriff teil.
Schauen Sie sich unser Änderungsprotokoll an.
Fragen? Sales-Team kontaktieren.
LLM? Lesen Sie llms.txt.
Unterstützt von Markdoc
Ähnliche Leitfäden
Ihre Integration testen
Anwendungsszenarien für Tests