Admin
API-Schlüssel
API-Schlüssel erstellen, einschränken und zur Authentifizierung programmatischer Zugriffe verwenden.
API-Schlüssel authentifizieren programmatische Zugriffe auf die CoreAI-API — z. B. wenn eine eigene Anwendung einen Agent aufruft oder eine Knowledge Base durchsucht, ohne dass ein Benutzer interaktiv angemeldet ist.
Ein Schlüssel gehört immer zu einem Benutzer und erbt dessen Berechtigungen. Zusätzlich lässt er sich auf bestimmte Ressourcen einschränken (Scopes).
Voraussetzungen
- Berechtigung
SETTINGS_WRITE(Erstellen/Ändern) bzw.SETTINGS_READ(Auflisten). - Zugriff auf die Admin-UI oder ein gültiger Session-Token.
Schlüssel erstellen
- Im Admin-Bereich unter API-Schlüssel einen neuen Schlüssel anlegen. Pflichtfeld ist nur der Name; optional sind Ablaufdatum und Scopes.
- Den Klartext-Schlüssel sofort sicher speichern — er wird nur einmal angezeigt. CoreAI speichert nur den HMAC-SHA256-Hash.
- Den Schlüssel in Aufrufen über den Header
X-API-Keymitgeben.
curl https://<host>/api/... \
-H "X-API-Key: hK3nQ...W9v2"
Zugriff einschränken (Scopes)
Ohne Scopes darf ein Schlüssel alles, was sein Besitzer darf. Mit Scopes lässt sich der Zugriff pro Ressourcentyp auf eine Whitelist begrenzen:
| Scope | Beschränkt auf |
|---|---|
| Agents | bestimmte Agents |
| Workflows | bestimmte Workflows |
| Chat-Modelle | bestimmte Chat-Modelle |
| Knowledge Bases | bestimmte Knowledge Bases |
Empfehlung: pro Integration einen eigenen, eng gescopeten Schlüssel — so lässt sich ein einzelner Schlüssel widerrufen, ohne andere Integrationen zu beeinträchtigen.
Sperren & Löschen
- Vorübergehend sperren (Schlüssel bleibt bestehen, wird aber abgewiesen).
- Endgültig löschen.
Ein abgelaufener, inaktiver oder gelöschter Schlüssel wird bei der Authentifizierung abgelehnt.
Technische Endpunkte: Die HTTP-Endpunkte zu API-Schlüsseln (
POST /api/api-keysetc.) stehen vollständig in der separaten API-Referenz unter API Keys.