Admin

API-Schlüssel

API-Schlüssel erstellen, einschränken und zur Authentifizierung programmatischer Zugriffe verwenden.

API-Schlüssel authentifizieren programmatische Zugriffe auf die CoreAI-API — z. B. wenn eine eigene Anwendung einen Agent aufruft oder eine Knowledge Base durchsucht, ohne dass ein Benutzer interaktiv angemeldet ist.

Ein Schlüssel gehört immer zu einem Benutzer und erbt dessen Berechtigungen. Zusätzlich lässt er sich auf bestimmte Ressourcen einschränken (Scopes).

Voraussetzungen

  • Berechtigung SETTINGS_WRITE (Erstellen/Ändern) bzw. SETTINGS_READ (Auflisten).
  • Zugriff auf die Admin-UI oder ein gültiger Session-Token.

Schlüssel erstellen

  1. Im Admin-Bereich unter API-Schlüssel einen neuen Schlüssel anlegen. Pflichtfeld ist nur der Name; optional sind Ablaufdatum und Scopes.
  2. Den Klartext-Schlüssel sofort sicher speichern — er wird nur einmal angezeigt. CoreAI speichert nur den HMAC-SHA256-Hash.
  3. Den Schlüssel in Aufrufen über den Header X-API-Key mitgeben.
curl https://<host>/api/... \
  -H "X-API-Key: hK3nQ...W9v2"

Zugriff einschränken (Scopes)

Ohne Scopes darf ein Schlüssel alles, was sein Besitzer darf. Mit Scopes lässt sich der Zugriff pro Ressourcentyp auf eine Whitelist begrenzen:

Scope Beschränkt auf
Agents bestimmte Agents
Workflows bestimmte Workflows
Chat-Modelle bestimmte Chat-Modelle
Knowledge Bases bestimmte Knowledge Bases

Empfehlung: pro Integration einen eigenen, eng gescopeten Schlüssel — so lässt sich ein einzelner Schlüssel widerrufen, ohne andere Integrationen zu beeinträchtigen.

Sperren & Löschen

  • Vorübergehend sperren (Schlüssel bleibt bestehen, wird aber abgewiesen).
  • Endgültig löschen.

Ein abgelaufener, inaktiver oder gelöschter Schlüssel wird bei der Authentifizierung abgelehnt.


Technische Endpunkte: Die HTTP-Endpunkte zu API-Schlüsseln (POST /api/api-keys etc.) stehen vollständig in der separaten API-Referenz unter API Keys.