Die Sicherheit von API-Keys verstehen
3 Min. Lesezeit
API-Keys von Wix sind Codes (auch bekannt als Strings), die du generieren kannst, um einem Benutzer oder einer Anwendung Zugriff auf deine Websites zu geben.
API-Keys können Zugriff auf alle Website-Daten in deinem Konto geben. Daher ist es wichtig, dass du weißt, wie du deine API-Keys sicherst.
In diesem Artikel erfährst du mehr über folgende Themen:
Deine Identität für die Verwaltung von API-Keys bestätigen
Wenn du einen neuen API-Key generierst oder Änderungen an deinen vorhandenen API-Schlüsseln vornimmst, wirst du aufgefordert, deine Identität zu bestätigen. Dadurch wird sichergestellt, dass nur autorisierte Personen Änderungen an den API-Keys in deinem Konto vornehmen können. So bleiben deine Website-Daten sicher.
Um deine Identität zu bestätigen, wird ein 6-stelliger Code an die mit deinem Konto verknüpfte E-Mail-Adresse. Um eine Aktion mit deinen API-Keys auszuführen, musst du diesen Code im Pop-up-Fenster Konto verifizieren eingeben.
Die Berechtigungen von Wix API-Schlüsseln verstehen
Standardmäßig gewährt jeder von dir generierte API-Schlüssel Zugriff auf alle Websites in deinem Konto. Das liegt daran, dass API-Schlüssel auf Kontoebene generiert werden. Du kannst die Zugriffsebene für API-Schlüssel festlegen, indem du die ihm zugewiesenen Berechtigungen auswählst.
Du kannst zum Beispiel die Berechtigung Wix Stores auswählen, sodass dein API-Schlüssel nur Zugriff auf die Shop-Daten deiner Website hat, Produkte, Bestellungen und Währungen miteingeschlossen.
Es gibt drei verschiedene Arten von Berechtigungen, die du deinen API-Schlüsseln zuweisen kannst.
Berechtigungsart | Erläuterung |
|---|---|
Alle Berechtigungen | Mit dieser Einstellung kannst du deinem API-Schlüssel alle verfügbaren Berechtigungen auf Konto- und Website-Ebene zuweisen. Auf diese Weise kann der Schlüssel auf alle zugehörigen Daten auf Konto- und Website-Ebene zugreifen. |
Allgemeine Berechtigungen | Diese Einstellung gibt die IDs aller Websites in deinem Konto zurück. Es ist standardmäßig ausgewählt und kann nicht aufgehoben werden. |
Alle Kontoberechtigungen | Mit dieser Einstellung kannst du alle verfügbaren Berechtigungen auf Kontoebene zu deinem API-Schlüssel hinzufügen. Auf diese Weise kann der Schlüssel neue Konten bei Wix und vieles mehr erstellen. |
Alle Website-Berechtigungen | Mit dieser Einstellung kannst du alle verfügbaren Berechtigungen auf Website-Ebene zu deinem API-Schlüssel hinzufügen. Auf diese Weise kann der Schlüssel deine Shop-Daten, Buchungsdaten, Veranstaltungsdaten und mehr verwalten. |
Du kannst auch Berechtigungen nur für einige Daten auf Website-Ebene auswählen, zum Beispiel deine Wix Stores-Daten.
Im Allgemeinen solltest du nur die Berechtigungen auswählen, die du für einen bestimmten API-Schlüssel brauchst, um deine Website-Daten zu schützen. Die meisten Berechtigungen gewähren automatisch Lese- und Schreibzugriff auf deine Website-Daten. Die Zuweisung der entsprechenden Berechtigungen stellt also sicher, dass du nicht mehr Zugang als nötig auf deine Website-Daten gibst.
Was du unternehmen solltest, wenn dein API-Schlüssel kompromittiert ist
Jeder von dir generierte API-Schlüssel von Wix bietet Zugriff auf alle Websites in deinem Konto. Es ist wichtig, dass du deine API-Schlüssel von Wix nur mit Personen teilst, denen du vertraust.
Wenn du den Verdacht hast, dass jemand unbefugten Zugriff auf einen deiner API-Schlüssel von Wix hat, ist es wichtig, sofort zu handeln. Wir empfehlen dir, deinen API-Schlüssel neu zu generieren, um ein neues Token für den Schlüssel zu erstellen. Allen APIs, die zuvor Zugriff auf deine Website-Daten hatten, wird der Zugriff sofort entzogen.
Wenn du nicht sicher bist, ob jemand unbefugten Zugriff auf einen deiner Schlüssel hat, ist es eine gute Idee, deinen Schlüssel zunächst zu duplizieren. Füge anschließend das neue Token zu deinen API-Calls hinzu, teile das neue Token mit allen Teammitgliedern, die es benötigen, und lösche dann den alten API-Schlüssel. Dadurch stellst du sicher, dass die API-Dienste, die den Schlüssel verwenden, nicht unterbrochen werden.
Wichtig:
- Jeder Benutzer oder jede Anwendung, die zuvor Zugriff auf den API-Schlüssel hatte, wird den Zugriff auf deine Website-Daten verlieren, nachdem du den Schlüssel gelöscht oder einen neu generierten verwendet hast.
- Es ist nicht möglich, einen alten API-Schlüssel wiederherzustellen, nachdem du ihn neu generiert oder gelöscht hast.
Möchtest du mehr über die Verwendung von API-Schlüsseln von Wix erfahren?
Lies unseren Artikel über das Erstellen von Requests mit API-Schlüsseln.
War das hilfreich?
|