Autorisierung
Die Sitequest API verwendet Bearer-Token-Authentifizierung mit API-Schlüsseln.
API-Schlüssel
Erstelle API-Schlüssel in deinem Dashboard unter API / MCP (öffne dazu das Profilmenü unten in der Seitenleiste). Jeder Schlüssel kann mit einem Namen, einem Ablaufdatum und bestimmten Berechtigungen konfiguriert werden.
Füge deinen Schlüssel in jede Anfrage über den Authorization-Header ein:
Authorization: Bearer sq_live_xxxxx...
API-Schlüssel verwenden das Präfix sq_live_ gefolgt von einer 64-stelligen Hex-Zeichenkette.
Berechtigungen (Scopes)
Jedem API-Schlüssel werden ein oder mehrere Scopes zugewiesen, die den Zugriff steuern. Verwende das Prinzip der minimalen Berechtigung — vergib nur die Scopes, die deine Integration benötigt.
| Scope | Beschreibung |
|---|---|
vps:read |
Server auflisten, Status und Metriken anzeigen |
vps:write |
Starten, Stoppen, Neustarten, Neuinstallieren, ISO einlegen, SSH-Ausführung |
vps:manage |
Server erstellen, upgraden und löschen |
domains:read |
Domains auflisten und DNS-Einträge anzeigen |
domains:write |
DNS-Einträge und Domain-Einstellungen bearbeiten |
domains:manage |
Domains registrieren, transferieren und löschen |
webspace:read |
Webspaces auflisten, Konfiguration einsehen, SSH-Schlüssel und SFTP-Listing, verknüpfte Domains anzeigen |
webspace:write |
SFTP schreiben/löschen/umbenennen/chmod/mkdir, SSH-Befehl ausführen, Domains verknüpfen/trennen, CMS installieren, SSH-Schlüssel verwalten, DB-Passwort zurücksetzen |
webspace:manage |
Webspaces erstellen, upgraden, suspendieren, entsperren und löschen (Provisionierung) |
Beim Erstellen eines Schlüssels kannst du Vollzugriff (alle Scopes), Nur Lesen (vps:read + domains:read + webspace:read) oder Benutzerdefiniert (einzelne Scopes wählen) auswählen.
Ressourcen-Beschränkungen
Zusätzlich zu Scopes kann ein API-Schlüssel auf bestimmte VPS-Instanzen, Domains und/oder Webspaces beschränkt werden. Wenn Ressourcen-Beschränkungen aktiviert sind, kann der Schlüssel nur auf die ausdrücklich erlaubten IDs zugreifen — auch wenn der Scope dies sonst zulassen würde. Neu provisionierte Ressourcen werden nicht automatisch hinzugefügt; gewähre Zugriff, indem du den Schlüssel bearbeitest.
Rate Limiting
API-Anfragen sind auf 60 Anfragen pro Minute pro API-Schlüssel begrenzt.
Jede Antwort enthält Rate-Limit-Header:
| Header | Beschreibung |
|---|---|
X-RateLimit-Limit |
Maximale Anfragen pro Zeitfenster |
X-RateLimit-Remaining |
Verbleibende Anfragen im aktuellen Zeitfenster |
X-RateLimit-Reset |
Unix-Zeitstempel, wann das Zeitfenster zurückgesetzt wird |
Wenn das Rate-Limit überschritten wird, gibt die API 429 Too Many Requests zurück.
Fehlerantworten
Authentifizierungsfehler liefern einen JSON-Body:
{
"error": "Invalid or missing API key",
"code": "UNAUTHORIZED",
"status": 401
}
| Status | Code | Bedeutung |
|---|---|---|
| 401 | UNAUTHORIZED |
Fehlender, ungültiger, widerrufener oder abgelaufener API-Schlüssel |
| 403 | INSUFFICIENT_SCOPE |
API-Schlüssel hat nicht die erforderlichen Berechtigungen |
| 429 | RATE_LIMITED |
Zu viele Anfragen |
Sicherheitshinweise
- Committe niemals API-Schlüssel in die Versionskontrolle.
- Rotiere Schlüssel regelmäßig und widerrufe unbenutzte.
- Verwende die engsten möglichen Scopes.
- Setze ein Ablaufdatum für Schlüssel, die in CI/CD-Pipelines verwendet werden.