Weiter zum Inhalt
Konto erstellen
 oder
anmelden
Das Logo der Stripe-Dokumentation
/
Konto erstellen
Anmelden

API-Schlüssel

Verwenden Sie API-Schlüssel, um API-Anfragen zu authentifizieren.

Stripe authentifiziert Ihre API-Anfragen mithilfe der API-Schlüssel Ihres Kontos. Wenn eine Anfrage keinen gültigen Schlüssel enthält, gibt Stripe einen Fehler aufgrund einer ungültigen Anfrage zurück. Wenn eine Anfrage einen gelöschten oder abgelaufenen Schlüssel enthält, gibt Stripe einen Authentifizierungsfehler zurück.

Verwenden Sie das Entwickler-Dashboard, um API-Schlüssel zu erstellen, anzuzeigen, zu löschen und neu zu generieren. Um auf Ihre v1-API-Schlüssel zuzugreifen, wählen Sie die Registerkarte API-Schlüssel in Ihrem Dashboard aus.

Test-Modus im Vergleich zum Live-Modus

Alle Stripe API-Anfragen erfolgen entweder im Test-Modus oder im Live-Modus. Verwenden Sie den Test-Modus, um auf Testdaten zuzugreifen, und den Live-Modus, um auf tatsächliche Kontodaten zuzugreifen. Jeder Modus verfügt über einen eigenen Satz API-Schlüssel. Objekte sind nicht in beiden Modi gleichzeitig zugänglich. Zum Beispiel kann ein Produktobjekt im Test-Modus nicht Teil einer Zahlung im Live-Modus sein.

Zugriff auf die Live-Modus-Schlüssel

Sie können einen geheimen oder eingeschränkten API-Schlüssel im Live-Modus nur einmal preisgeben. Wenn Sie ihn verlieren, können Sie ihn nicht über das Dashboard abrufen. Generieren Sie in diesem Fall einen neuen oder löschen Sie ihn und erstellen Sie einen neuen.

TypWann diese eingesetzt werdenObjekteVerwendungÜberlegungen
Test-ModusVerwenden Sie den Test-Modus und die damit verbundenen Test-API-Schlüssel, wenn Sie Ihre Integration erstellen. Im Test-Modus verarbeiten die Kartennetzwerke und Zahlungsanbieter keine Zahlungen.API-Aufrufe geben simulierte Objekte zurück. Sie können zum Beispiel die Testobjekte account, payment, customer, charge, refund, transfer, balance und subscription abrufen und verwenden.Verwenden Sie Testkreditkarten und -konten. Darüber können Sie allerdings keine echten Zahlungen akzeptieren oder mit echten Konten arbeiten.Identity führt keine Verifizierungsprüfungen durch. Connect-Kontenobjekte geben außerdem keine sensiblen Felder zurück.
Live-ModusVerwenden Sie den Live-Modus und die damit verbundenen Live-API-Schlüssel, wenn Sie bereit sind, Ihre Integration zu starten und echtes Zahlungen anzunehmen. Im Live-Modus werden Zahlungen von Kartennetzwerken und Zahlungsanbietern verarbeitet.API-Aufrufe geben echte Objekte zurück. Sie können zum Beispiel echte Objekte wie account, payment, customer, charge, refund, transfer, balance und subscription abrufen und verwenden.Akzeptieren Sie echte Kreditkarten und arbeiten Sie mit Kundenkonten. Sie können echte Zahlungsautorisierungen, Gebühren und Erfassungen für Kreditkarten und Konten akzeptieren.Zahlungsanfechtungen haben einen differenzierteren Ablauf und einen einfacheren Testvorgang. Außerdem haben einige Zahlungsmethoden einen differenzierteren Ablauf und es sind mehr Schritte erforderlich.

Geheime und veröffentlichbare Schlüssel

Alle Konten verfügen standardmäßig über insgesamt vier API-Schlüssel – zwei für den Test-Modus und zwei für den Live-Modus:

  • Geheimschlüssel im Test-Modus: Verwenden Sie diesen Schlüssel, um Anfragen auf Ihrem Server im Test-Modus zu authentifizieren. Standardmäßig können Sie diesen Schlüssel verwenden, um jede API-Anfrage ohne Einschränkungen durchzuführen.
  • Veröffentlichbarer Schlüssel im Test-Modus: Verwenden Sie diesen Schlüssel zu Testzwecken im clientseitigen Code Ihrer Web- oder Mobil-App.
  • Geheimschlüssel für den Live-Modus: Verwenden Sie diesen Schlüssel, um Anfragen auf Ihrem Server im Live-Modus zu authentifizieren. Standardmäßig können Sie diesen Schlüssel verwenden, um jede API-Anfrage ohne Einschränkungen durchzuführen.
  • Veröffentlichbarer Schlüssel im Live-Modus: Verwenden Sie diesen Schlüssel im clientseitigen Code Ihrer Web- oder Mobil-App, wenn Sie bereit sind, Ihre App zu starten.

Tests und Entwicklung

Verwenden Sie nur Ihre Test-API-Schlüssel für Tests und Entwicklung. So wird sichergestellt, dass Sie Ihre Live-Kunden oder Zahlungen nicht versehentlich ändern.

Ihre geheimen und veröffentlichbaren Schlüssel finden Sie in den API-Schlüsseln. Wenn Sie angemeldet sind, füllt die Stripe-Dokumentation die Code-Beispiele automatisch mit Ihren API-Schlüsseln im Test-Modus aus. (Nur Sie können diese Werte sehen). Wenn Sie nicht angemeldet sind, enthalten unsere Code-Beispiele zufällig generierte API-Schlüssel. Sie können diese durch Ihre eigenen Testschlüssel ersetzen oder melden Sie sich an, um die Code-Beispiele mit Ihren Test-API-Schlüsseln anzuzeigen. Wenn Sie Ihre API-Schlüssel nicht anzeigen können, bitten Sie die Inhaberin/den Inhaber Ihres Stripe-Kontos, Sie mit den entsprechenden Berechtigungen zum Team hinzuzufügen.

Die folgende Tabelle zeigt zufällig generierte Beispiele für geheime und veröffentlichbare Test-API-Schlüssel:

Eingeschränkte API-Schlüssel

Das Dashboard kann auch eingeschränkte API-Schlüssel generieren, die einen anpassbaren und eingeschränkten Zugriff auf die API ermöglichen. Stripe bietet jedoch standardmäßig keine eingeschränkten Schlüssel an.

TypWertWann diese eingesetzt werden
Geheimsk_test_4eC39HqLyjWDarjtT1zdp7dcAuf dem Server: Muss geheim und sicher im serverseitigen Code Ihrer Web- oder Mobil-App gespeichert sein (z. B. in einem Verwaltungssystem für Umgebungsvariablen oder Anmeldedaten), um Stripe-APIs aufzurufen. Stellen Sie diesen Schlüssel nicht auf einer Website zur Verfügung und betten Sie ihn nicht in eine mobile Anwendung ein.
Veröffentlichbarpk_test_TYooMQauvdEDq54NiTphI7jxAuf dem Client: Kann im clientseitigen Code Ihrer Web- oder Mobil-App (z. B. checkout.js) öffentlich zugänglich sein, um z. B. mit Stripe Elements Zahlungsinformationen sicher zu erfassen. Standardmäßig erfasst Stripe Checkout Zahlungsinformationen auf sichere Weise.
EingeschränktEine Zeichenfolge, die mit rk_test_ beginnt.Über Microservices: Muss geheim und sicher in Ihrem Microservice-Code gespeichert sein, um Stripe-APIs aufzurufen. Veröffentlichen Sie diesen Schlüssel nicht auf Ihrer Website und betten Sie diesen auch nicht in eine mobile Anwendung ein.

Bewahren Sie Ihre Schlüssel sicher auf

Jede beliebige Person kann Ihren API-Geheimschlüssel im Live-Modus verwenden, um jeden gewünschten API-Aufruf im Namen Ihres Kontos durchzuführen. So können beispielsweise Zahlungen erstellt oder Rückerstattungen durchgeführt werden. Bewahren Sie Ihre Schlüssel sicher auf, indem Sie die Best Practices für API-Geheimschlüssel befolgen.

Passen Sie den API-Zugriff mit eingeschränkten API Schlüsseln an

Um eingeschränkten Zugriff auf die API zu gewähren, erstellen Sie eingeschränkte API-Schlüssel. Sie können einen eingeschränkten API-Schlüssel konfigurieren, um Lese- oder Schreibzugriff auf bestimmte API-Referenzen zu ermöglichen. Wenn Sie Microservices verwenden, die in Ihrem Namen mit der API interagieren, definieren Sie eingeschränkte Schlüssel, die nur den minimalen Zugriff ermöglichen, den diese Microservices benötigen. Wenn Sie beispielsweise einen Überwachungsdienst für Zahlungsanfechtungen nutzen, erstellen Sie einen eingeschränkten Schlüssel, der nur Lesezugriff auf Ressourcen im Zusammenhang mit Zahlungsanfechtungen bietet. Mit diesem Schlüssel kann der Dienst die benötigten Daten abrufen, jedoch keine Änderungen vornehmen oder auf andere Daten zugreifen.

Eingeschränkte Schlüssel können mit vielen Teilen der Stripe-API nicht interagieren, da sie nur dazu gedacht sind, das Risiko bei der Verwendung oder Erstellung von Microservices zu reduzieren. Verwenden Sie bei der Entwicklung Ihrer Stripe-Integration keine eingeschränkten Schlüssel als Alternative zu den geheimen oder veröffentlichbaren API-Schlüsseln Ihres Kontos.

Berechtigungsfehler

Wenn Sie einen eingeschränkten API-Schlüssel für einen Aufruf verwenden, auf den er keinen Zugriff hat, gibt Stripe einen Berechtigungsfehler aus.

Beschränken Sie die IP-Adressen, die API-Anfragen senden können

Sie können die Sicherheit eines geheimen oder eingeschränkten Schlüssels erhöhen, indem Sie die IP-Adressen einschränken, die ihn zum Senden von API-Anfragen verwenden können. Sie können außerdem einen Schlüssel auf eine oder mehrere IP-Adressen oder auf einen Bereich von IP-Adressen beschränken.

Einen geheimen API-Schlüssel für den Test-Modus offenlegen

Im Testmodus können Sie einen geheimen API-Schlüssel beliebig oft offenlegen.

Ihren Geheimschlüssel im Test-Modus offenlegen:

  1. Wählen Sie im Entwickler-Dashboard die Registerkarte API-Schlüssel aus.
  2. Klicken Sie in der Liste Standard in der Zeile Geheimschlüssel auf Testschlüssel offenlegen.
  3. Kopieren Sie den Schlüsselwert, indem Sie darauf klicken.
  4. Speichern Sie den Schlüsselwert.
  5. Klicken Sie auf Test-Schlüssel ausblenden.

Einen geheimen oder eingeschränkten API Schlüssel für den Live-Modus offenlegen

Aus Sicherheitsgründen zeigt Stripe Ihnen im Live-Modus einen geheimen oder eingeschränkten API-Schlüssel nur einmal an. Bewahren Sie den Schlüssel an einem sicheren Ort auf, an dem Sie ihn nicht verlieren können. Damit Sie sich leichter merken können, wo Sie ihn aufbewahren, können Sie eine Notiz auf dem Schlüssel im Dashboard hinterlassen. Wenn Sie den Schlüssel verlieren, können Sie ihn neu generieren oder löschen und einen neuen erstellen.

Sie können einen Live-Modus-Geheimschlüssel, den Sie erstellt haben, nicht offenlegen

Nachdem Sie im Live-Modus einen geheimen oder eingeschränkten API Schlüssel erstellt haben, zeigen wir den Wert an, bevor Sie ihn speichern. Sie müssen den Wert vor dem Speichern kopieren, da er später nicht angezeigt werden kann. Sie können nur einen Standard-Geheimschlüssel oder einen bei einer geplanten Veröffentlichung generierten Schlüssel offenlegen.

So legen Sie einen geheimen oder eingeschränkten Schlüssel im Live-Modus offen und fügen eine Notiz hinzu:

Notiz

Der Link API keys wird im Live-Modus geöffnet.

  1. Wählen Sie im Entwickler-Dashboard die Registerkarte API-Schlüssel aus.
  2. Klicken Sie in der Liste der Standard-Schlüssel oder Eingeschränkte Schlüssel in der Zeile mit dem Schlüssel, den Sie offenlegen möchten, auf Live-Schlüssel offenlegen.
  3. Kopieren Sie den Schlüsselwert, indem Sie darauf klicken.
  4. Speichern Sie den Schlüsselwert.
  5. Klicken Sie auf Test-Schlüssel ausblenden.
  6. Klicken Sie neben dem Schlüssel auf das Überlaufmenü () und wählen Sie dann Schlüssel bearbeiten … aus.
  7. Geben Sie in das Feld Notiz den Ort ein, an dem Sie den Schlüssel gespeichert haben, und klicken Sie dann auf Speichern.
  8. Wenn Sie den Schlüssel erstellt haben, bevor Stripe diese Funktion eingeführt hat, klicken Sie auf Live-Schlüssel ausblenden.

Notiz

Schlüssel, die Sie erstellt haben, bevor Stripe diese Funktion eingeführt hat, werden nicht automatisch ausgeblendet, wenn sie offengelegt werden. Sie müssen sie manuell ausblenden.

Einen API-Schlüssel neu generieren

Durch neu generieren eines Schlüssels wird dieser widerrufen und ein Ersatzschlüssel wird generiert. Sie können einen Schlüssel sofort aktivieren oder erst nach einer gewissen Zeit. Generieren Sie einen neuen Schlüssel in Beispielszenarien wie den folgenden:

  • Wenn Sie sich im Live-Modus befinden und einen geheimen oder eingeschränkten Schlüssel verlieren, können Sie diesen nicht über das Dashboard wiederherstellen und müssen ihn ersetzen.
  • Wenn ein geheimer oder eingeschränkter Schlüssel kompromittiert wird, müssen Sie ihn widerrufen, um potenzielle böswillige API-Anfragen zu blockieren, die ihn verwenden könnten.
  • Ihre Richtlinie erfordert das Wechseln von Schlüsseln in bestimmten Intervallen.

So generieren Sie einen API-Schlüssel neu:

  1. Öffnen Sie die Seite API-Schlüssel.
  2. Klicken Sie in der Zeile für den Schlüssel, den Sie neu generieren möchten, auf das Überlaufmenü () und wählen Sie dann Schlüssel neu generieren … aus.
  3. Wählen Sie ein Ablaufdatum aus dem Dropdown-Menü Ablaufdatum aus.
  4. Klicken Sie auf API-Schlüssel wechseln.
  5. Das Dialogfeld zeigt den neuen Schlüsselwert an. Kopieren Sie es, indem Sie es anklicken.
  6. Speichern Sie den Schlüsselwert. Sie können ihn später nicht abrufen.
  7. Geben Sie in das Feld Notiz hinzufügen den Ort ein, an dem Sie den Schlüssel gespeichert haben, und klicken Sie auf Fertig oder Speichern.

Wenn Sie als Ablaufdatum Jetzt ausgewählt haben, löschen wir den alten Schlüssel. Wenn Sie eine andere Zeit ausgewählt haben, können Sie die verbleibende Zeit bis zum Ablauf des Schlüssels unter seinem Namen anzeigen.

Unabhängig von der Ablaufzeit des alten Schlüssels kann der neue Schlüssel sofort verwendet werden.

Wenn Sie einen veröffentlichbaren Schlüssel übertragen, lautet der Name des Ersatzschlüssels immer Publishable key. Wenn Sie einen geheimen Schlüssel neu generieren, lautet der Name des Ersatzschlüssels immer Secret key. Wenn Sie einen eingeschränkten Schlüssel neu generieren, wird der Name des Ersatzschlüssels mit dem des neu generierten Schlüssels identisch. Sie können einen geheimen oder eingeschränkten Schlüssel umbenennen, indem Sie auf das zugehörige Überlaufmenü klicken und Schlüssel bearbeiten … auswählen.

Einen geheimen oder eingeschränkten API-Schlüssel löschen

Wenn Sie einen Schlüssel löschen, kann ein Code, der diesen Schlüssel verwendet, keine API-Aufrufe mehr durchführen. Erstellen Sie einen neuen Schlüssel und aktualisieren Sie den Code, um ihn zu verwenden.

Notiz

Sie können einen veröffentlichbaren Schlüssel nicht löschen.

So löschen Sie einen Schlüssel:

  1. Wählen Sie im Entwickler-Dashboard die Registerkarte API-Schlüssel aus.
  2. Suchen Sie in der Liste Standard-Schlüssel oder Eingeschränkte Schlüsselnach dem Schlüssel, den Sie löschen möchten. Klicken Sie auf das Symbol des Überlaufmenüs () in der Zeile dieses Schlüssels und wählen Sie dann Schlüssel löschen … aus.
  3. Wenn Sie den Schlüssel wirklich löschen möchten, klicken Sie im Dialogfeld API-Schlüssel löschen auf Schlüssel löschen. Klicken Sie andernfalls auf Abbrechen.

Einen geheimen API-Schlüssel erstellen

So erstellen Sie einen geheimen API-Schlüssel:

  1. Öffnen Sie die Seite API-Schlüssel.
  2. Klicken Sie auf Geheimschlüssel erstellen.
  3. Stripe sendet Ihnen einen Verifizierungscode an Ihre hinterlegte E-Mail-Adresse oder Handynummer. (Wie dies bei E-Mails und Textnachrichten der Fall sein kann, kommt die Nachricht möglicherweise nicht sofort an.) Geben Sie den Code in das Dialogfeld ein. Wenn das Dialogfeld nicht automatisch fortgesetzt wird, klicken Sie auf Weiter.
  4. Geben Sie in das Feld Schlüsselname einen Namen ein.
  5. Klicken Sie auf Erstellen.
  6. Das Dialogfeld zeigt den neuen Schlüsselwert an. Kopieren Sie es, indem Sie es anklicken.
  7. Speichern Sie den Schlüsselwert. Sie können ihn später nicht abrufen.
  8. Geben Sie in das Feld Notiz hinzufügen den Ort ein, an dem Sie den Schlüssel gespeichert haben, und klicken Sie auf Fertig.

Einen eingeschränkten API-Schlüssel erstellen

Ein eingeschränkter API-Schlüssel gestattet nur die von Ihnen angegebene Zugriffsebene.

So erstellen Sie einen eingeschränkten API-Schlüssel:

  1. Öffnen Sie die Seite API-Schlüssel.
  2. Sie können einen eingeschränkten Schlüssel von Grund auf neu erstellen oder mit dem Klonen eines vorhandenen eingeschränkten Schlüssels beginnen.
    • Um einen eingeschränkten Schlüssel von Grund auf zu erstellen, klicken Sie auf Eingeschränkten Schlüssel erstellen. In diesem Fall ist der Standardwert für alle Berechtigungen Keine.
    • Um einen bestehenden Schlüssel zu klonen, klicken Sie in der Zeile mit dem Schlüssel, den Sie klonen möchten, auf das Überlaufmenü () und wählen Sie dann Schlüssel duplizieren … aus. In diesem Fall ist der Standardwert für jede Berechtigung der Wert im geklonten Schlüssel.
  3. Geben Sie im Feld Schlüsselname einen Namen ein. Wenn Sie einen bestehenden Schlüssel geklont haben, ist der Standardname der Name des geklonten Schlüssels.
  4. Wählen Sie für jede Ressource, auf die Sie mit dem neuen Schlüssel zugreifen möchten, die Berechtigung aus, die dieser Schlüssel zulassen soll. Wenn Sie Connect verwenden, können Sie auch die Berechtigung für diesen Schlüssel auswählen, um auf verbundene Konten zuzugreifen. Folgende Berechtigungen sind verfügbar: Keine, Lesen oder Schreiben.
  5. Klicken Sie auf Schlüssel erstellen.
  6. Stripe sendet Ihnen einen Verifizierungscode an Ihre hinterlegte E-Mail-Adresse oder Handynummer. (Wie dies bei E-Mails und Textnachrichten der Fall sein kann, kommt die Nachricht möglicherweise nicht sofort an.) Geben Sie den Code in das Dialogfeld ein. Wenn das Dialogfeld nicht automatisch fortgesetzt wird, klicken Sie auf Weiter.
  7. Das Dialogfeld zeigt den neuen Schlüsselwert an. Kopieren Sie es, indem Sie es anklicken.
  8. Speichern Sie den Schlüsselwert. Sie können ihn später nicht abrufen.
  9. Geben Sie in das Feld Notiz hinzufügen den Ort ein, an dem Sie den Schlüssel gespeichert haben, und klicken Sie auf Fertig.

Geheime oder eingeschränkte Schlüssel auf eine Liste oder einen Bereich von IP-Adressen beschränken

So begrenzen API-Anfragen mithilfe eines Schlüssels auf eine oder mehrere bestimmte IP-Adressen oder auf einen Bereich von IP-Adressen:

Gültige IP-Adressbereiche

Sie können einen beliebigen gültigen CIDR-Bereich angeben. Zum Beispiel könnte ein gültiger Bereich 100.10.38.0 - 100.10.38.255 sein, angegeben als 100.10.38.0/24. Alle Adressen im Bereich müssen mit 100.10.38 beginnen.

  1. Öffnen Sie die Seite API-Schlüssel.
  2. Klicken Sie in der Liste Standard-Schlüssel oder Eingeschränkte Schlüssel in der Zeile für den Schlüssel, den Sie anzeigen möchten, auf das Überlaufmenü () und wählen Sie dann IP-Einschränkungen verwalten … aus.
  3. Klicken Sie auf Nutzung auf eine Reihe von IP-Adressen beschränken.
  4. Geben Sie eine IP-Adresse oder einen IP-Adressbereich ein:
    • Bei einer individuellen IP-Adresse geben Sie diese in das Feld IP-Adresse ein.
    • Geben Sie bei einem Bereich von IP-Adressen den Bereich in CIDR-Notation (Classless Inter-Domain Routing) ein. Geben Sie im Feld IP-Adresse die erste Adresse im Bereich ein. Geben Sie im Feld CIDR die Netzwerkpräfixgröße ein.
    • Sie können auch die Registerkarte Massenweise verwalten auswählen und einzelne IP-Adressen und -bereiche durch Leerzeichen getrennt eingeben. Änderungen, die Sie in einer Registerkarte vornehmen, werden in der anderen Registerkarte angezeigt.
  5. Um eine weitere Adresse oder einen weiteren Bereich hinzuzufügen, klicken Sie auf + Hinzufügen.
  6. Klicken Sie auf Speichern.

Namen oder Hinweise eines geheimen oder eingeschränkten API-Schlüssels ändern

So ändern Sie den Namen oder den Notiztext eines geheimen oder eingeschränkten Schlüssels:

  1. Öffnen Sie die Seite API-Schlüssel.
  2. Klicken Sie in der Zeile für den Schlüssel, den Sie ändern möchten, auf das Überlaufmenü () und wählen Sie dann Schlüssel bearbeiten … aus.
  3. Wenn Sie den Namen ändern möchten, geben Sie unter Schlüsselname den neuen Namen ein.
  4. Wenn Sie den Text der Notiz ändern möchten, geben Sie unter Notiz den neuen ´Text ein.
  5. Klicken Sie auf Speichern.

API-Anfrageprotokolle anzeigen

Um die API-Anfrageprotokolle zu öffnen, klicken Sie für einen beliebigen Schlüssel auf das Überlaufmenü () und wählen Anfrageprotokolle anzeigen aus. Durch Öffnen der Protokolle kehren Sie zur Startseite des Stripe-Dashboards zurück.

War diese Seite hilfreich?
JaNein
Benötigen Sie Hilfe? Kontaktieren Sie den Kundensupport.
Nehmen Sie an unserem Programm für frühzeitigen Zugriff teil.
Schauen Sie sich unseren Produkt-Changelog an.
Fragen? Sales-Team kontaktieren.
Unterstützt von Markdoc
Auf dieser Seite
Test-Modus im Vergleich zum Live-Modus
Geheime und veröffentlichbare Schlüssel
Bewahren Sie Ihre Schlüssel sicher auf
Einen geheimen API-Schlüssel für den Test-Modus offenlegen
Einen geheimen oder eingeschränkten API Schlüssel für den Live-Modus offenlegen
Einen API-Schlüssel neu generieren
Einen geheimen oder eingeschränkten API-Schlüssel löschen
Einen geheimen API-Schlüssel erstellen
Einen eingeschränkten API-Schlüssel erstellen
Geheime oder eingeschränkte Schlüssel auf eine Liste oder einen Bereich von IP-Adressen beschränken
Namen oder Hinweise eines geheimen oder eingeschränkten API-Schlüssels ändern
API-Anfrageprotokolle anzeigen
Ähnliche Leitfäden
Testen
Testmodus