# API-Schlüssel Verwenden Sie API-Schlüssel, um API-Anfragen zu authentifizieren. Stripe authentifiziert API-Anfragen mithilfe der API-Schlüssel Ihres Kontos. Wenn eine Anfrage keinen gültigen Schlüssel enthält, gibt Stripe einen [Fehler durch ungültige Anfrage](https://docs.stripe.com/error-handling.md#invalid-request-errors) zurück. Wenn eine Anfrage einen gelöschten oder abgelaufenen Schlüssel enthält, gibt Stripe einen [Authentifizierungsfehler](https://docs.stripe.com/error-handling.md#authentication-errors) zurück. Verwenden Sie das [Entwickler-Dashboard](https://dashboard.stripe.com/test/apikeys), um API-Schlüssel zu erstellen, anzuzeigen, zu löschen und zu rotieren. Sie können auf Ihre API-Schlüssel über die Registerkarte [API-Schlüssel](https://dashboard.stripe.com/test/apikeys) zugreifen. > #### Wenn Sie neu bei Stripe sind > > - **Sorgen Sie für die Sicherheit Ihres Unternehmens:** Lesen Sie unsere [Best Practices](https://docs.stripe.com/keys-best-practices.md) für die Schlüsselverwaltung. - **Erstellen und testen**: Verwenden Sie Ihre *Sandbox-Schlüssel (Test-Modus)*. Sandbox-Schlüssel beginnen mit `pk_test_` (veröffentlichbar), `rk_test_` (eingeschränkt) und `sk_test_` (geheim). Mit ihnen können Sie Tests durchführen, ohne Live-Daten zu beeinträchtigen. - **Wenn Sie bereit sind, echte Zahlungen zu akzeptieren**: Wechseln Sie zu Ihren **Live-Modus-Schlüsseln**, die mit `pk_live_`, `rk_live_` und `sk_live_` beginnen. Anweisungen hierzu finden Sie unter [In den Live-Modus wechseln](https://docs.stripe.com/keys.md#switch-to-live-mode). - **Wenn Sie ein Webhook-Signaturgeheimnis benötigen**: Webhook-Geheimnisse sind von API-Schlüsseln getrennt. Sie finden sie im Dashboard im Abschnitt [Webhooks](https://dashboard.stripe.com/webhooks) unter jedem Webhook-Endpoint. ## Schlüsseltypen Wenn Sie sich für ein Stripe-Konto registrieren, erstellen wir drei Arten von API-Schlüsseln für Sie: | Typ | Bedenkenlos bereitstellbar | Beschreibung | | --- | --- | --- | | Eingeschränkter API-Schlüssel (RAK)`rk_...` | Nein | API-Schlüssel mit Berechtigungen, die Sie selbst steuern. Begrenzen Sie den Schaden für Ihr Unternehmen, den ein böswilliger Akteur verursachen könnte, falls er Ihren Schlüssel erhält. Erstellen Sie beliebig viele RAKs und weisen Sie sie verschiedenen Teilen Ihrer Anwendung zu. [Diese Anleitung](https://docs.stripe.com/keys/restricted-api-keys.md) erklärt, wie Sie RAKs konfigurieren und verwenden. | | Veröffentlichbarer API-Schlüssel | Ja | API-Schlüssel, den Sie in Front-End-Code oder Anwendungen einfügen können, die Sie verteilen. | | Geheimer API-Schlüssel`sk_...` | Nein | API-Schlüssel mit uneingeschränkten Berechtigungen für alle Stripe-APIs. Da Sie deren Berechtigungen nicht einschränken können, empfehlen wir für neue Use Cases keine Geheimschlüssel zu verwenden. Für bestehende Integrationen empfehlen wir, die Nutzung von Geheimschlüsseln auf RAKs zu migrieren. | | Organization API-Schlüssel`sk_org_...` | Nein | API-Schlüssel, der auf Organisationsebene funktioniert. Entspricht eingeschränkten oder geheimen Schlüsseln auf Kontoebene, operiert jedoch auf der [Organisationsebene](https://docs.stripe.com/get-started/account/orgs.md), um mehrere Stripe-Konten gleichzeitig zu verwalten. [Diese Anleitung](https://docs.stripe.com/keys/organization-api-keys.md) erläutert, wie Sie Organisations-API-Schlüssel konfigurieren und verwenden. | Wir unterstützen außerdem [verwaltete API-Schlüssel](https://docs.stripe.com/keys/managed-api-keys.md), die von bestimmten Hosting-Plattformen ausgestellt werden. Verwaltete Schlüssel sind geheime API-Schlüssel, die eine Hosting-Plattform direkt an Ihre gehosteten Anwendungen übermittelt. Sie müssen verwaltete Schlüssel nicht selbst verwalten – Ihr Hosting-Anbieter stellt sie aus und erneuert sie für Sie. > #### Webhook-Signaturgeheimnis > > Webhook-Signaturschlüssel sind keine API-Schlüssel, sondern einzelnen Webhooks zugeordnete Schlüssel. Mit ihrer Hilfe kann Ihr Webhook-Empfänger authentifizieren, dass Webhooks tatsächlich von Stripe stammen. Sie finden den Signaturschlüssel für jeden Webhook-Endpoint im Abschnitt [Webhooks](https://dashboard.stripe.com/webhooks) des Dashboards. Wenn Sie Ihr Stripe-Konto vor Mai 2026 erstellt haben, verfügen Sie möglicherweise über keine eingeschränkten API-Schlüssel. Wir empfehlen, RAKs zu erstellen und von Geheimschlüsseln zu migrieren. Sie sind für die sichere Verwaltung Ihrer API-Schlüssel verantwortlich. Lesen Sie unsere Anleitung zu [Best Practices zum Schutz von API-Schlüsseln](https://docs.stripe.com/keys-best-practices.md). ### Sandbox im Vergleich zum Live-Modus Alle Stripe-API-Anfragen erfolgen entweder in der *Sandbox* oder im *Live-Modus* (Use this mode when you’re ready to launch your app. Card networks or payment providers process payments). Verwenden Sie eine Sandbox, um Ihre Integration zu testen und auf Testdaten zuzugreifen, und den Live-Modus, um auf tatsächliche Kontodaten zuzugreifen. Jeder Modus verfügt über einen eigenen Satz API-Schlüssel. Objekte in einem Modus sind nicht gleichzeitig zugänglich für den anderen. Zum Beispiel kann ein Sandbox[-Produktobjekt](https://docs.stripe.com/api/products/object.md) im Live-Modus nicht Teil einer Zahlung sein. | Typ | Wann diese eingesetzt werden | Objekte | Verwendung | Überlegungen | | --- | --- | --- | --- | --- | | Sandboxen | Verwenden Sie eine Sandbox und die damit verbundenen Test-API-Schlüssel, wenn Sie Ihre Integration erstellen. In einer Sandbox wickeln Kartennetzwerke und Zahlungsanbieter keine Zahlungen ab. | API-Aufrufe geben simulierte Objekte zurück. Sie können zum Beispiel die Testobjekte `account`, `payment`, `customer`, `charge`, `refund`, `transfer`, `balance` und `subscription` abrufen und verwenden. | Verwenden Sie [Testkreditkarten und -konten](https://docs.stripe.com/testing.md#cards). Darüber können Sie allerdings keine echten Zahlungen akzeptieren oder mit echten Konten arbeiten. | [Identity](https://docs.stripe.com/identity.md) führt keine Verifizierungsprüfungen durch. Connect-[Kontenobjekte](https://docs.stripe.com/api/accounts/object.md) geben außerdem keine sensiblen Felder zurück. | | Live-Modus | Verwenden Sie den Live-Modus und die damit verbundenen Live-API-Schlüssel, wenn Sie bereit sind, Ihre Integration zu starten und echtes Zahlungen anzunehmen. Im Live-Modus werden Zahlungen von Kartennetzwerken und Zahlungsanbietern verarbeitet. | API-Aufrufe geben echte Objekte zurück. Sie können zum Beispiel echte Objekte wie `account`, `payment`, `customer`, `charge`, `refund`, `transfer`, `balance` und `subscription` abrufen und verwenden. | Akzeptieren Sie echte Kreditkarten und arbeiten Sie mit Kundenkonten. Sie können echte Zahlungsautorisierungen, Gebühren und Erfassungen für Kreditkarten und Konten akzeptieren. | Zahlungsanfechtungen haben einen differenzierteren Ablauf und einen einfacheren [Testvorgang](https://docs.stripe.com/testing.md#disputes). Außerdem haben einige [Zahlungsmethoden](https://docs.stripe.com/payments/payment-methods.md) einen differenzierteren Ablauf und es sind mehr Schritte erforderlich. | ## Schützen Sie Ihre Schlüssel Nur öffentliche Schlüssel können gefahrlos außerhalb des Backends Ihrer Anwendung verwendet werden. Sie sind für den Schutz aller anderen Stripe-API-Schlüssel verantwortlich, einschließlich eingeschränkter API-Schlüssel. Im Folgenden finden Sie einige Möglichkeiten, wie Sie Ihre Schlüssel schützen können: - Speichern Sie vertrauliche Schlüssel in einem Secrets Vault (Geheimnistresor), der von Ihrer Hosting-Plattform bereitgestellt wird. [Dieser Blogbeitrag](https://stripe.dev/blog/securing-stripe-api-keys-aws-automatic-rotation) enthält ein Beispiel. Wenn Sie keinen Secrets Vault verwenden können, stellen Sie die Schlüssel Ihren Backend-Anwendungen unter Verwendung von Umgebungsvariablen bereit. - Fügen Sie Schlüssel nicht in Quellcode oder Konfigurationsdateien ein, die in die Versionsverwaltung eingecheckt werden. - Konfigurieren Sie [Zugriffsrichtlinien](https://docs.stripe.com/keys.md#access-policies), damit Schlüssel nur von Ihren bekannten Servern verwendet werden können. - [Rotieren Sie Schlüssel](https://docs.stripe.com/keys.md#rolling-keys), wenn Teammitglieder mit Zugriff auf die Schlüssel Ihre Organisation verlassen. - Teilen Sie keine Schlüssel per E-Mail, Chat oder andere unverschlüsselte Kanäle. Eine umfassende Anleitung finden Sie unter [Best Practices für die Verwaltung von geheimen API-Schlüsseln](https://docs.stripe.com/keys-best-practices.md). Wir pflegen außerdem [eine Bibliothek mit Fähigkeiten](https://github.com/stripe/ai/tree/main/skills), um KI-Agenten bei der Einhaltung dieser Best Practices zu unterstützen. ## Ihre API-Schlüssel verwalten Verwenden Sie das [Dashboard](https://dashboard.stripe.com/apikeys), um Ihre API-Schlüssel zu erstellen, anzuzeigen, zu ändern, zu löschen und zu rotieren. #### Einen eingeschränkten API-Schlüssel erstellen Verwenden Sie für die meisten Use Cases [eingeschränkte API-Schlüssel](https://docs.stripe.com/keys/restricted-api-keys.md) (Restricted API Keys, RAKs). Sie können einen RAK verwenden, um die genauen Berechtigungen zuzuweisen, die Ihre Integration benötigt. Dadurch kann der Schaden verringert werden, den eine böswillige Person für Ihr Unternehmen verursachen könnte, wenn sie Ihren Schlüssel erhält. - Befolgen Sie die Anweisungen unter [Eingeschränkte API-Schlüssel](https://docs.stripe.com/keys/restricted-api-keys.md), um einen RAK zu erstellen, seine Berechtigungen zu konfigurieren und von Geheimschlüsseln zu migrieren. #### Einen geheimen API-Schlüssel erstellen Erstellen Sie nur dann einen uneingeschränkten geheimen API-Schlüssel, wenn Ihre Integration uneingeschränkten Zugriff auf alle Stripe-APIs und -Ressourcen erfordert. Wenn ein/e Angreifer/in Ihren Geheimschlüssel erlangt, kann sie/er Ihrem Unternehmen schaden. Wir empfehlen stattdessen die Verwendung von RAKs. 1. Klicken Sie auf der Registerkarte [API-Schlüssel](https://dashboard.stripe.com/test/apikeys) auf **Geheimschlüssel erstellen**. 2. Geben Sie im Dialogfeld den Bestätigungscode ein, den wir Ihnen per E-Mail oder Textnachricht senden. Wenn das Dialogfeld nicht automatisch fortgesetzt wird, klicken Sie auf **Weiter**. 3. Geben Sie einen Namen in das Feld **Schlüsselname** ein und klicken Sie dann auf **Erstellen**. 4. Klicken Sie auf den Schlüsselwert, um ihn zu kopieren. 5. Speichern Sie den Schlüsselwert. Sie können ihn später nicht abrufen. 6. Geben Sie in das Feld **Notiz hinzufügen** den Speicherort ein, an dem Sie den Schlüssel gespeichert haben, und klicken Sie dann auf **Fertig**. ### Einen API-Schlüssel offenlegen Wenn Sie einen Geheimschlüssel im Live-Modus erstellen, wird er einmalig angezeigt, bevor Sie ihn speichern. Kopieren Sie den Schlüssel vor dem Speichern, da er sich später nicht mehr anzeigen lässt. Im Live-Modus können Sie nur API-Schlüssel anzeigen, die wir für Sie erstellt haben, z. B. einen Standard-Geheimschlüssel oder einen durch eine geplante Rotation generierten Schlüssel. Im Sandbox-Modus können Sie immer alle Ihre API-Schlüssel anzeigen, einschließlich eingeschränkter und geheimer Schlüssel. > Speichern Sie vertrauliche Schlüssel an einem sicheren Ort, an dem Sie sie nicht verlieren, z. B. in einem Secrets Vault Ihrer Plattform. Fügen Sie Schlüssel nicht in den Code Ihrer Anwendung ein. Öffentliche API-Schlüssel sind nicht vertraulich, daher werden sie standardmäßig angezeigt, und Sie müssen nichts unternehmen, um sie einzusehen. Schlüssel, die Sie vergessen haben oder auf die Sie keinen Zugriff mehr haben, können wir nicht wiederherstellen. Wenn Sie einen Schlüssel verlieren, rotieren oder löschen Sie ihn und erstellen Sie einen neuen. #### Einen RAK im Live-Modus anzeigen Sie können nur Live-Modus-RAKs anzeigen, die wir für Sie erstellt haben. Wenn Sie selbst einen RAK erstellen, können Sie ihn nach der erstmaligen Anzeige nicht mehr anzeigen. 1. Klicken Sie auf der Registerkarte [API-Schlüssel](https://dashboard.stripe.com/apikeys) im Live-Modus in der Liste **Eingeschränkte Schlüssel** auf **Live-Schlüssel anzeige** für den Schlüssel, den Sie anzeigen möchten. 2. Klicken Sie auf den Schlüsselwert, um ihn zu kopieren. 3. Speichern Sie den Schlüsselwert in dem [Secrets Vault](https://docs.stripe.com/keys-best-practices.md#use-a-secrets-vault) Ihrer Plattform. Wenn Ihre Plattform keinen bereitstellt, verwenden Sie eine Umgebungsvariable. 4. Klicken Sie auf **Live-Schlüssel verbergen**. #### Einen geheimen API-Schlüssel im Live-Modus anzeigen Sie können nur geheime Live-Modus-Schlüssel anzeigen, die wir für Sie erstellt haben. Wenn Sie selbst einen Geheimschlüssel erstellen, können Sie ihn nach der erstmaligen Anzeige nicht mehr anzeigen. 1. Klicken Sie auf der Registerkarte [API-Schlüssel](https://dashboard.stripe.com/apikeys) im Live-Modus in der Liste **Standardschlüssel** auf **Live-Schlüssel anzeigen** für den Schlüssel, den Sie anzeigen möchten. 2. Klicken Sie auf den Schlüsselwert, um ihn zu kopieren. 3. Speichern Sie den Schlüsselwert in dem [Secrets Vault](https://docs.stripe.com/keys-best-practices.md#use-a-secrets-vault) Ihrer Plattform. Wenn Ihre Plattform keinen bereitstellt, verwenden Sie eine Umgebungsvariable. 4. Klicken Sie auf **Live-Schlüssel verbergen**. 5. Klicken Sie auf das Überlaufmenü (⋯) und wählen Sie dann **Schlüssel bearbeiten** aus. 6. Geben Sie in das Feld **Notiz** den Ort ein, an dem Sie den Schlüssel gespeichert haben, und klicken Sie dann auf **Speichern**. ### API-Schlüssel auf bestimmte IP-Adressen beschränken [Zugriffsrichtlinien](https://docs.stripe.com/keys.md#access-policies) haben Einschränkungen von IP-Adressen ersetzt. Verwenden Sie Richtlinien, keine Einschränkungen. ### Name oder Notiz eines API-Schlüssels ändern 1. Klicken Sie auf der Registerkarte [API-Schlüssel](https://dashboard.stripe.com/test/apikeys) auf das Überlaufmenü (⋯) für den Schlüssel, den Sie ändern möchten. 2. Wählen Sie **Schlüssel bearbeiten** aus. 3. Führen Sie Folgendes aus: - Um den Namen zu ändern, geben Sie einen neuen Namen in das Feld **Schlüsselname** ein. - Wenn Sie den Text der Notiz ändern möchten, geben Sie unter **Notiz** den neuen ́Text ein. 4. Klicken Sie auf **Speichern**. ### API-Schlüssel ablaufen lassen Wenn Sie einen geheimen API-Schlüssel oder einen eingeschränkten API-Schlüssel ablaufen lassen, müssen Sie einen neuen erstellen und alle Codes aktualisieren, die den abgelaufenen Schlüssel verwenden. Alle Codes, die den abgelaufenen Schlüssel verwenden, können keine API-Aufrufe mehr durchführen. > Sie können einen veröffentlichbaren Schlüssel nicht ablaufen lassen. 1. Klicken Sie auf der Registerkarte [API-Schlüssel](https://dashboard.stripe.com/test/apikeys) in der Liste **Eingeschränkte Schlüssel** oder **Standard-Schlüssel** auf das Überlaufmenü (⋯) für den Schlüssel, den Sie ablaufen lassen möchten. 2. Wählen Sie **Schlüssel ablaufen lassen** aus. 3. Klicken Sie im Dialogfeld auf **Schlüssel ablaufen lassen**. Wenn Sie den Schlüssel nicht mehr ablaufen lassen möchten, klicken Sie auf **Abbrechen**. ### Einen API-Schlüssel rotieren Durch Rotieren eines API-Schlüssels wird dieser widerrufen und ein Ersatzschlüssel generiert, der sofort verwendet werden kann. Sie können auch planen, dass ein API-Schlüssel nach einer bestimmten Zeit rotiert. Der Ersatzschlüssel wird wie folgt benannt: - Der Name des veröffentlichbaren Ersatzschlüssels ist immer `veröffentlichbarer Schlüssel`. - Der Name des Ersatz-Geheimschlüssels ist immer `Geheimschlüssel`. - Der eingeschränkte Ersatzschlüsselname ist derselbe wie der des rotierten Schlüssels. Sie können einen geheimen oder eingeschränkten API-Schlüssel umbenennen, indem Sie den Schlüssel bearbeiten. Rotieren Sie einen API-Schlüssel in folgenden Szenarien: - Wenn Sie im Live-Modus einen geheimen oder eingeschränkten API-Schlüssel verlieren und diesen nicht über das Dashboard wiederherstellen können. - Wenn ein geheimer oder eingeschränkter API-Schlüssel kompromittiert wird, müssen Sie ihn widerrufen, um potenzielle böswillige API-Anfragen zu blockieren, die ihn verwenden könnten. - Wenn ein Teammitglied mit Zugriff auf den Schlüssel Ihre Organisation verlässt oder die Rollen wechselt. - Wenn Ihre Richtlinie das Wechseln von Schlüsseln in bestimmten Intervallen erfordert. #### Rotieren Sie sicher, um Ausfallzeiten zu vermeiden Um Ausfallzeiten während der Schlüsselrotation zu vermeiden: 1. **Nutzen Sie die Kulanzfrist**: Wenn Sie einen Schlüssel im Dashboard rotieren, funktionieren sowohl der alte als auch der neue Schlüssel bis zu 7 Tage lang. So können Sie schrittweise ohne Ausfallzeiten migrieren. Wenn Sie mehr als 7 Tage benötigen, erstellen Sie manuell einen neuen Schlüssel, migrieren Sie zu diesem und lassen Sie den alten ablaufen, wenn Sie fertig sind. 2. **Schrittweise einführen**: Verwenden Sie den neuen Schlüssel nach Möglichkeit zunächst für eine kleine Teilmenge Ihrer Server oder Dienste und überprüfen Sie Ihre Server-Logs auf Fehler, bevor Sie ihn weiter bereitstellen. 3. **Vor dem Widerrufen überwachen**: Bevor der alte Schlüssel abläuft, [überprüfen Sie seine Anfrage-Logs](https://docs.stripe.com/keys.md#view-request-logs) und lassen Sie ihn erst ablaufen, nachdem das Anfragevolumen für einige Stunden oder Tage bei null lag. #### Einen API-Schlüssel rotieren 1. Klicken Sie auf der Registerkarte [API-Schlüssel](https://dashboard.stripe.com/test/apikeys) auf das Überlaufmenü (⋯) für den Schlüssel, den Sie rotieren möchten. 2. Wählen Sie **Schlüssel rotieren** aus. 3. Wählen Sie im Dropdown-Menü **Gültig bis**Ablaufdatum aus. Wenn Sie **Jetzt** auswählen, wird der alte Schlüssel gelöscht. Wenn Sie einen Zeitpunkt angeben, wird die verbleibende Zeit bis zum Ablauf des Schlüssels unter dem Schlüsselnamen angezeigt. 4. Klicken Sie auf **API-Schlüssel rotieren**. 5. Klicken Sie auf den Schlüsselwert, um ihn zu kopieren. 6. Speichern Sie den Schlüsselwert. Sie können ihn später nicht abrufen. 7. Geben Sie in das Feld **Notiz hinzufügen** den Speicherort ein, an dem Sie den Schlüssel gespeichert haben, und klicken Sie dann auf **Speichern** oder **Fertig**. ### Zugriff eines API-Schlüssels wiederherstellen Der Zugriff auf einen API-Schlüssel könnte eingeschränkt werden, wenn er länger als 180 Tage nicht zum Erstellen von Überweisungen, Auszahlungen oder zum Aktualisieren von Auszahlungszielen verwendet wurde. Mit einem Schlüssel mit eingeschränktem Zugriff können Sie keine Auszahlungen und Überweisungen erstellen oder Auszahlungsziele anlegen. Sie können den Zugriff wiederherstellen, um den Schlüssel normal zu verwenden oder eine gesperrte Aktion auszuführen. #### So stellen Sie den Zugriff für einen API-Schlüssel wieder her 1. Klicken Sie auf der Registerkarte [API-Schlüssel](https://dashboard.stripe.com/test/apikeys) auf das Überlaufmenü (⋯) für den Schlüssel, den Sie wiederherstellen möchten. 2. Wählen Sie **Zugriff wiederherstellen**. 3. Klicken Sie auf **Wiederherstellen**. ## API-Anfrage-Logs für einen Schlüssel anzeigen Um [die API-Anfrage-Logs zu öffnen](https://docs.stripe.com/development/dashboard/request-logs.md), klicken Sie für einen beliebigen Schlüssel auf das Überlaufmenü (⋯) und wählen **Anfrage-Logs-anzeigen** aus. Durch Öffnen der Logs kehren Sie zum Stripe-Dashboard zurück. ## In den Live-Modus wechseln Wenn Sie bereit sind, echte Zahlungen zu akzeptieren, verwenden Sie API-Schlüssel für den Live-Modus anstelle von Sandbox-Schlüsseln (Testschlüsseln). Wechseln Sie auf der Seite [API-Schlüssel](https://dashboard.stripe.com/apikeys) vom **Sandbox-Modus** zum **Live-Modus**. Auf der Seite werden nun Ihre API-Schlüssel für den Live-Modus angezeigt. > #### Umfassende Checkliste zum Go-Live > > Das Wechseln der API-Schlüssel ist nur ein Schritt. Prüfen Sie die vollständige [Checkliste, um live zu gehen](https://docs.stripe.com/get-started/checklist/go-live.md), um sicherzustellen, dass Ihre Integration produktionsbereit ist. ### Veröffentlichbare Schlüssel (clientseitig) Kopieren Sie Ihren **veröffentlichbaren Live-Modus-Schlüssel** (beginnt mit `pk_live_`) und ersetzen Sie den `pk_test_`-Schlüssel in Ihrem clientseitigen Code. Es ist sicher, diesen Schlüssel in Ihren Code oder Ihre Apps einzubetten. ### Eingeschränkte oder geheime API-Schlüssel (serverseitig) Serverseitige API-Schlüssel sind vertraulich. Lesen Sie daher unsere [Best Practices für die Verwaltung geheimer API-Schlüssel](https://docs.stripe.com/keys-best-practices.md). Wir empfehlen, für Ihren serverseitigen Code [eingeschränkte API-Schlüssel](https://docs.stripe.com/keys/restricted-api-keys.md) zu generieren, um den Schaden für Ihr Unternehmen zu begrenzen, falls Ihre Schlüssel jemals offengelegt oder kompromittiert werden. 1. Bevor Sie einen Live-Modus-Schlüssel in Ihrer Backend-Anmeldeformular verwenden, entfernen Sie alle hartcodierten API-Schlüssel aus Ihrem Code. Verwenden Sie stattdessen einen [Secrets Vault](https://docs.stripe.com/keys-best-practices.md#use-a-secrets-vault), um den Sandbox-Schlüssel bereitzustellen, und bestätigen Sie, dass Ihre Anmeldeformular weiterhin funktioniert. Wenn Ihre Plattform keinen Secrets Vault bereitstellt, können Sie eine Umgebungsvariable verwenden. 2. [Zeigen Sie Ihre **Live-Modus-Schlüssel** an](https://docs.stripe.com/keys.md#reveal-an-api-key) und kopieren Sie diese (sie beginnen mit `rk_live_` oder `sk_live_`). Speichern Sie den Schlüsselwert sicher in Ihrer Server-Umgebung. 3. Konfigurieren Sie Ihre Serverumgebung so, dass Ihrer Anwendung Schlüssel für den Live-Modus anstelle von Sandbox-Schlüsseln bereitgestellt werden. #### Webhook-Signaturschlüssel (serverseitig) Wenn Sie Webhooks verwenden, aktualisieren Sie die URL jedes Webhook-Endpoints und kopieren Sie das neue **Signaturgeheimnis** aus dem Abschnitt [Webhooks](https://dashboard.stripe.com/webhooks) des Dashboards. ## Zugriffsrichtlinien Sie können den Zugriff auf einen Schlüssel einschränken, indem Sie ihm eine Zugriffsrichtlinie zuweisen. Wenn jemand eine Anfrage über einen Schlüssel versucht, auf den nicht zugegriffen werden kann, blockiert Stripe die Anfrage und benachrichtigt Sie. Stripe empfiehlt, Zugriffsrichtlinien für alle Schlüssel im Live-Modus zu konfigurieren. Dadurch werden Sie über jeden unbefugten Zugriff benachrichtigt, sodass Sie die Schlüssel entsprechend rotieren können. Sie können den Zugriff verwalten, indem Sie verschiedenen Schlüsseln unterschiedliche Richtlinien zuweisen. Sie können beispielsweise zwischen Staging- und Produktionsumgebungen unterscheiden, indem Sie den jeweiligen Schlüsseln unterschiedliche Richtlinien zuweisen. ### Arten von Zugriffsrichtlinien Stripe unterstützt die folgenden Arten von Zugriffsrichtlinien: - **IP-Adressen**: Beschränken Sie den Zugriff auf eine oder mehrere spezifische IPv4-Adressen oder CIDR-Bereiche. Verwenden Sie diesen Ansatz, wenn Ihre Server über feste IP-Adressen verfügen. - **Erweitert**: Beschränken Sie den Zugriff nach autonomer Systemnummer (Autonomous System Number, ASN), Land und gängigen Bedrohungskategorien. Wenn Sie dynamisch skalieren, können Sie Ihrem Cloud-Anbieter mithilfe der ASN und des Landes Zugriff gewähren. Eine erweiterte Zugriffsrichtlinie kann eine beliebige Kombination der folgenden Regeln verwenden: - **Zulässige ASNs**: Anfragen von bestimmten ASNs sind zulässig; alle anderen werden blockiert. - **Länder**: Anfragen aus bestimmten Ländern sind zulässig; alle anderen werden blockiert. - **Quellen**: Anfragen von ausgewählten Quellen werden blockiert. Sie können die folgenden Quellen auswählen: - **Anonyme VPNs**: VPN-Dienste von Drittanbietern, die für Datenschutz und Anonymität verkauft werden (Unternehmens-VPNs ausgenommen). Ziehen Sie in Erwägung, diese zu blockieren, wenn Sie keine VPNs verwenden, um auf die Stripe API zuzugreifen. - **Öffentliche Proxys**: Offene Proxy-Server aus öffentlichen Listen. Ziehen Sie in Erwägung, diese zu blockieren, wenn Sie keine öffentlichen Proxys verwenden, um auf die Stripe API zuzugreifen. - **Private Proxys**: Proxys, die privaten Internetdienstanbietern (ISPs) zugeordnet sind. Ziehen Sie in Erwägung, diese zu blockieren, wenn Sie keine privaten ISPs verwenden, um auf die Stripe API zuzugreifen. - **Tor-Exit-Nodes**: Datenverkehr aus dem Tor-Netzwerk. Ziehen Sie in Erwägung, diese zu blockieren, wenn Sie nicht über Tor auf die Stripe API zugreifen. Durch die Auswahl mehrerer Regeln werden diese mit einer UND-Logik kombiniert. Wenn Sie beispielsweise die ASN 16509 (Amazon) zulassen, die USA zulassen und Tor-Exit-Nodes blockieren, lässt die Richtlinie nur Anfragen von AWS-IPs in den USA zu, die keine bekannten Tor-Exit-Nodes sind. Alle anderen Anfragen werden blockiert. ### Zugriffsrichtlinie erstellen Um eine Zugriffsrichtlinie zu erstellen, gehen Sie in Ihrem Dashboard auf die Seite [API-Zugriffsrichtlinien](https://dashboard.stripe.com/api-access-policies) und führen Sie die folgenden Schritte aus: 1. Klicken Sie auf **+ Richtlinie erstellen**. 2. Geben Sie einen Namen (z. B. „Produktionsserver“) und eine optionale Beschreibung ein. 3. Wählen Sie **IP-Adressen** oder **Erweitert** aus. 4. Konfigurieren Sie die Richtlinie abhängig vom ausgewählten Typ: - **IP-Adressen:** Geben Sie eine oder mehrere gültige öffentliche IPv4-Adressen oder CIDR-Bereiche ein. Beispielsweise deckt `192.0.2.0/24` den Bereich 192.0.2.0–192.0.2.255 ab. - **Erweitert:** Geben Sie eine beliebige Kombination aus zuzulassenden ASNs, zuzulassenden Ländern und zu blockierenden Quellen an, wie unter [Arten von Zugriffsrichtlinien](https://docs.stripe.com/keys.md#access-policy-types) beschrieben. 5. Klicken Sie auf **Weiter**. 6. Prüfen Sie die Richtliniendetails und klicken Sie dann auf **Richtlinie erstellen**. 7. Wenn Sie aufgefordert werden, sich zu authentifizieren, befolgen Sie die Anweisungen auf dem Bildschirm. Wenn die Erstellung erfolgreich war, wird die neue Richtlinie in der Liste angezeigt. ### Zugriffsrichtlinie anwenden oder entfernen Um eine Zugriffsrichtlinie auf einen API-Schlüssel anzuwenden, gehen Sie in Ihrem Dashboard auf die Seite [API-Schlüssel](https://dashboard.stripe.com/apikeys) und führen Sie die folgenden Schritte aus: 1. Suchen Sie in der Liste **Standard-Schlüssel** oder **Eingeschränkte Schlüssel** den Schlüssel, den Sie aktualisieren möchten, und öffnen Sie dessen Überlaufmenü (⋯). 2. Wählen Sie **Zugriffsrichtlinie verwalten** aus. 3. Wählen Sie im Dropdown-Menü **Zugriffsrichtlinie** die gewünschte Richtlinie aus. 4. Prüfen Sie die Details der ausgewählten Richtlinie und klicken Sie dann auf **Speichern**. 5. Wenn Sie aufgefordert werden, sich zu authentifizieren, befolgen Sie die Anweisungen auf dem Bildschirm. Um eine Zugriffsrichtlinie von einem Schlüssel zu entfernen, gehen Sie in Ihrem Dashboard auf die Seite [API-Schlüssel](https://dashboard.stripe.com/apikeys) und führen Sie die folgenden Schritte aus: 1. Suchen Sie in der Liste **Standard-Schlüssel** oder **Eingeschränkte Schlüssel** den Schlüssel, den Sie aktualisieren möchten, und öffnen Sie dessen Überlaufmenü (⋯). 2. Wählen Sie **Zugriffsrichtlinie verwalten** aus. 3. Wählen Sie im Dropdown-Menü **Zugriffsrichtlinie** die Option **Keine** aus. 4. Klicken Sie auf **Speichern**. ### Zugriffsrichtlinie aktualisieren Um Änderungen an einer API-Zugriffsrichtlinie vorzunehmen, gehen Sie in Ihrem Dashboard auf die Seite [API-Zugriffsrichtlinien](https://dashboard.stripe.com/api-access-policies) und führen Sie die folgenden Schritte aus: 1. Suchen Sie die Richtlinie, die Sie ändern möchten, und öffnen Sie deren Überlaufmenü (⋯). 2. Wählen Sie **Richtlinie bearbeiten** aus. 3. Aktualisieren Sie die Richtlinienoptionen wie unter [Zugriffsrichtlinie erstellen](https://docs.stripe.com/keys.md#create-an-access-policy) beschrieben und klicken Sie dann auf **Weiter**. 4. Prüfen Sie die Richtliniendetails und klicken Sie dann auf **Speichern**. 5. Wenn Sie aufgefordert werden, sich zu authentifizieren, befolgen Sie die Anweisungen auf dem Bildschirm. Wenn Sie eine Zugriffsrichtlinie aktualisieren, werden die Änderungen sofort auf alle API-Schlüssel angewendet, denen sie zugewiesen ist. ### Zugriffsrichtlinie löschen Um eine API-Zugriffsrichtlinie zu löschen, gehen Sie in Ihrem Dashboard auf die Seite [API-Zugriffsrichtlinien](https://dashboard.stripe.com/api-access-policies) und führen Sie die folgenden Schritte aus: 1. Suchen Sie die Richtlinie, die Sie löschen möchten, und öffnen Sie deren Überlaufmenü (⋯). 2. Wählen Sie **Richtlinie löschen** aus. 3. Prüfen Sie den Bestätigungsdialog, um die Auswirkungen zu verstehen, und klicken Sie dann auf **Richtlinie löschen**. Durch das Löschen einer Zugriffsrichtlinie wird diese sofort von allen API-Schlüsseln entfernt, auf die sie angewendet wurde. Diese Schlüssel lassen Anfragen aus jeder Quelle zu, bis Sie eine andere Richtlinie auf sie anwenden. ## See also - [Best Practices für die Verwaltung von geheimen API-Schlüsseln](https://docs.stripe.com/keys-best-practices.md) - [Schutz vor kompromittierten API-Schlüsseln](https://support.stripe.com/questions/protecting-against-compromised-api-keys) - [Warum hat mein API-Schlüssel nur eingeschränkten Zugriff?](https://support.stripe.com/questions/why-does-my-api-key-have-limited-access)