API-Authentifizierung

API-Keys erstellen, verwenden und verwalten – mit Best Practices für die sichere Nutzung.

Übersicht

Die Lymbe AI API verwendet API-Keys zur Authentifizierung. Jeder API-Key ist an deinen Tenant gebunden und kann mit unterschiedlichen Berechtigungen (Scopes) ausgestattet werden.

API-Key erstellen

Melde dich in deinem Dashboard an
Gehe zu Einstellungen → API-Keys
Klicke auf „Neuen API-Key erstellen"
Vergib einen beschreibenden Namen (z. B. „CRM-Integration")
Wähle die benötigten Scopes aus
Optional: Setze ein Ablaufdatum
Klicke auf „Erstellen" und kopiere den Key sofort

SicherheitshinweisDer vollständige API-Key wird nur einmal angezeigt – direkt nach dem Erstellen. Speichere ihn sicher. Er kann nachträglich nicht erneut eingesehen werden.

Key-Format

Lymbe AI API-Keys haben ein festes Präfix, damit du sie leicht identifizieren kannst:

Typ	Präfix	Beispiel
Secret Key	lymbe_sk_	lymbe_sk_a1b2c3d4e5f6g7h8i9j0...
Public Key	lymbe_pk_	lymbe_pk_x1y2z3a4b5c6d7e8f9g0...

Secret Keys werden für die API-Authentifizierung verwendet. Public Keys sind für die Widget-Initialisierung bestimmt und haben eingeschränkte Berechtigungen.

Verwendung

Füge den API-Key als X-API-Key Header zu jeder Anfrage hinzu:

curl-example.shbash

# Beispiel: Alle Bots abrufen
curl -X GET "https://app.lymbe.ai/api/v1/bots" \
  -H "X-API-Key: lymbe_sk_dein_api_key" \
  -H "Content-Type: application/json"

fetch-example.jsjavascript

// JavaScript / Node.js
const response = await fetch('https://app.lymbe.ai/api/v1/bots', {
  headers: {
    'X-API-Key': process.env.LYMBE_API_KEY,
    'Content-Type': 'application/json',
  },
});

const data = await response.json();
console.log(data.bots);

python-example.pypython

import requests
import os

response = requests.get(
    'https://app.lymbe.ai/api/v1/bots',
    headers={
        'X-API-Key': os.environ['LYMBE_API_KEY'],
        'Content-Type': 'application/json',
    }
)

data = response.json()
print(data['bots'])

Scopes (Berechtigungen)

Vergib nur die Berechtigungen, die tatsächlich benötigt werden (Principle of Least Privilege):

Scope	Beschreibung
bots:read	Bots auflisten und Details abrufen
conversations:read	Gespräche und Nachrichten lesen
leads:read	Leads auflisten
leads:write	Neue Leads erstellen und bestehende aktualisieren
webhooks:manage	Webhooks erstellen, bearbeiten und löschen
analytics:read	Analytics-Daten abrufen
settings:read	Tenant-Einstellungen lesen
settings:write	Tenant-Einstellungen ändern

Ablaufdatum & Rotation

API-Keys können mit einem Ablaufdatum versehen werden. Nach Ablauf ist der Key automatisch ungültig. Es empfiehlt sich, Keys regelmäßig zu rotieren:

Erstelle einen neuen API-Key mit denselben Scopes
Aktualisiere den Key in allen Integrationen
Teste die Verbindung mit dem neuen Key über /api/v1/verify
Lösche den alten Key im Dashboard

Best Practices

Speichere API-Keys niemals im Quellcode – nutze Umgebungsvariablen
Verwende separate Keys für verschiedene Umgebungen (Development, Staging, Production)
Vergib jedem Key einen beschreibenden Namen, damit du weißt, wo er eingesetzt wird
Setze Ablaufdaten auf maximal 90 Tage und rotiere Keys regelmäßig
Nutze nur die Scopes, die tatsächlich benötigt werden
Überwache die API-Key-Nutzung im Dashboard unter Einstellungen → API-Keys → Aktivität
Lösche ungenutzte Keys sofort
Verwende niemals API-Keys in clientseitigem JavaScript – nur auf dem Server

Key kompromittiert?Falls du vermutest, dass ein API-Key kompromittiert wurde, lösche ihn sofort im Dashboard und erstelle einen neuen. Überprüfe die Audit-Logs auf verdächtige Aktivitäten.

VorherigeÜbersicht NächsteConversations