Autorisierung
Die Sitequest API verwendet Bearer-Token-Authentifizierung mit API-Schlüsseln.
API-Schlüssel
Erstelle API-Schlüssel in deinem Dashboard unter Einstellungen > API / MCP. Jeder Schlüssel kann mit einem Namen, einem Ablaufdatum und bestimmten Berechtigungen konfiguriert werden.
Füge deinen Schlüssel in jede Anfrage über den Authorization-Header ein:
Authorization: Bearer sq_live_xxxxx...
API-Schlüssel verwenden das Präfix sq_live_ gefolgt von einer 64-stelligen Hex-Zeichenkette.
Berechtigungen (Scopes)
Jedem API-Schlüssel werden ein oder mehrere Scopes zugewiesen, die den Zugriff steuern. Verwende das Prinzip der minimalen Berechtigung — vergib nur die Scopes, die deine Integration benötigt.
| Scope | Beschreibung |
|---|---|
vps:read |
Server auflisten, Status und Metriken anzeigen |
vps:write |
Starten, Stoppen, Neustarten, Neuinstallieren, ISO einlegen, SSH-Ausführung |
vps:manage |
Server erstellen, upgraden und löschen |
domains:read |
Domains auflisten und DNS-Einträge anzeigen |
domains:write |
DNS-Einträge und Domain-Einstellungen bearbeiten |
domains:manage |
Domains registrieren, transferieren und löschen |
Beim Erstellen eines Schlüssels kannst du Vollzugriff (alle Scopes), Nur Lesen (vps:read + domains:read) oder Benutzerdefiniert (einzelne Scopes wählen) auswählen.
Rate Limiting
API-Anfragen sind auf 60 Anfragen pro Minute pro API-Schlüssel begrenzt.
Jede Antwort enthält Rate-Limit-Header:
| Header | Beschreibung |
|---|---|
X-RateLimit-Limit |
Maximale Anfragen pro Zeitfenster |
X-RateLimit-Remaining |
Verbleibende Anfragen im aktuellen Zeitfenster |
X-RateLimit-Reset |
Unix-Zeitstempel, wann das Zeitfenster zurückgesetzt wird |
Wenn das Rate-Limit überschritten wird, gibt die API 429 Too Many Requests zurück.
Fehlerantworten
Authentifizierungsfehler liefern einen JSON-Body:
{
"error": "Invalid or missing API key",
"code": "UNAUTHORIZED",
"status": 401
}
| Status | Code | Bedeutung |
|---|---|---|
| 401 | UNAUTHORIZED |
Fehlender, ungültiger, widerrufener oder abgelaufener API-Schlüssel |
| 403 | INSUFFICIENT_SCOPE |
API-Schlüssel hat nicht die erforderlichen Berechtigungen |
| 429 | RATE_LIMITED |
Zu viele Anfragen |
Sicherheitshinweise
- Committe niemals API-Schlüssel in die Versionskontrolle.
- Rotiere Schlüssel regelmäßig und widerrufe unbenutzte.
- Verwende die engsten möglichen Scopes.
- Setze ein Ablaufdatum für Schlüssel, die in CI/CD-Pipelines verwendet werden.