Authentifizierung
API-Schlüssel
Mapalyze verwendet organisationsbezogene API-Schlüssel für Server-zu-Server-Integrationen.
Schlüsselformate
mk_live_...: Produktionsschlüssel.mk_test_...: Sandbox-/Testschlüssel.
Ihr Gateway kann so konfiguriert werden, dass nur bestimmte Schlüsselumgebungen akzeptiert werden. Beispielsweise kann die Produktion auf mk_live_-Schlüssel beschränkt werden.
Wer kann API-Schlüssel verwalten
| Rolle | read-only / read-write Schlüssel erstellen |
admin Schlüssel erstellen |
admin Schlüssel rotieren/widerrufen |
|---|---|---|---|
| owner | Ja | Ja | Ja |
| admin | Ja | Nein | Nein |
| member | Nein | Nein | Nein |
Einen API-Schlüssel erstellen
- Öffnen Sie die Mapalyze-App: Settings > Integrations > API Keys
- Klicken Sie auf Create API Key
- Geben Sie einen Namen ein (zum Beispiel:
Production backend) - Wählen Sie den Scope: Read-Only, Read-Write oder Admin
- Wählen Sie die Umgebung: Live oder Test
- Erstellen und kopieren Sie den vollständigen Schlüssel sofort (wird nur einmal angezeigt)
Den Schlüssel senden
Verwenden Sie X-API-Key bei jeder Anfrage:
curl -H "X-API-Key: mk_live_your_key_here" \
https://<project-ref>.supabase.co/functions/v1/api-gateway/v1/records
Sie können den Schlüssel auch als Bearer-Token senden:
curl -H "Authorization: Bearer mk_live_your_key_here" \
https://<project-ref>.supabase.co/functions/v1/api-gateway/v1/records
Scopes
| Scope | Berechtigungen |
|---|---|
| read-only | Lese-Endpoints (GET) einschließlich Datensätze, Formulare, Projekte, Anhänge, Exporte, OGC-Lesezugriffe |
| read-write | Alles in read-only, plus Schreibzugriffe (POST, PUT, PATCH, DELETE) |
| admin | Alles in read-write, plus Admin-Endpoints (Webhooks, API-Metriken, Missbrauchs-/Lebenszykluswarnungen) |
Scopes sind hierarchisch: admin enthält read-write, und read-write enthält read-only.
Idempotenz für sichere Schreibvorgänge
Für Schreibrouten mit POST/PUT senden Sie Idempotency-Key, damit Wiederholungsversuche keine Duplikate erzeugen:
curl -X POST \
-H "X-API-Key: mk_live_..." \
-H "Idempotency-Key: create-record-20260220-001" \
-H "Content-Type: application/json" \
-d '{"form_id":"...","properties":{"name":"Test"}}' \
"https://<ref>.supabase.co/functions/v1/api-gateway/v1/records"
Details finden Sie unter Erstellen, Aktualisieren und Löschen.
Sicherheits-Best-Practices
- Legen Sie API-Schlüssel niemals in Browser- oder Mobile-Client-Code offen.
- Speichern Sie Schlüssel in Umgebungsvariablen oder Secret-Managern.
- Verwenden Sie den minimal erforderlichen Scope.
- Rotieren Sie Schlüssel regelmäßig und widerrufen Sie unbenutzte Schlüssel.
- Halten Sie Produktions- und Testschlüssel getrennt.
- Fügen Sie Ihre Backend-Domains zu den erlaubten Origins hinzu, wenn Sie browserbasierte Integrationen verwenden.
Einen Schlüssel widerrufen
Klicken Sie unter Settings > Integrations > API Keys auf Revoke beim Zielschlüssel. Der Widerruf ist sofort wirksam und weitere Anfragen geben 401 zurück.
Brauchen Sie Hilfe mit der API? Kontaktieren Sie unser Support-Team.