Authentifizierung
Alle APRO-REST-Endpunkte verwenden einen einzigen API-Key, übergeben
im Request-Header x-api-key. Es gibt keinen OAuth-Flow und kein
Token-Refresh — Keys sind langlebig und auf einen Mandanten oder einen
einzelnen Standort beschränkt.
Header
POST /api/v1/external/order HTTP/1.1Host: my.apro.atx-api-key: sk_live_pLpXZq8S…content-type: application/jsonKey-Scope
Jeder APRO-REST-Key ist an einen Standort gebunden. Ein Request ist nur erfolgreich, wenn der aus dem Endpunkt abgeleitete Standort mit dem Standort des Keys übereinstimmt.
| Endpunkt-Stil | Standort wird abgeleitet aus |
|---|---|
POST /api/v1/reports/receipts | dem API-Key selbst. |
POST /api/v1/locations/{location}/reports/receipts | {location} in der URL — muss mit dem Key-Standort übereinstimmen. |
Ein standortgebundener Key versagt sicher, wenn er gegen einen anderen Standort verwendet wird, und ist unbedenklich an Partner oder ein einzelnes Deployment weiterzugeben.
Key beziehen
Keys werden vom APRO Account-Team ausgestellt. Anfrage an Ihre Ansprechperson oder an apro.at/support. Rotation wird unterstützt; der abgelöste Key bleibt eine Karenzzeit lang gültig, damit Sie ohne Ausfall umziehen können.
Keys aufbewahren
- Niemals in das Versionskontrollsystem einchecken.
- Keys in einem Secret Manager speichern (Azure Key Vault, 1Password, HashiCorp Vault, GitHub-Actions- oder Azure-DevOps-Secrets).
- Zur Laufzeit als Umgebungsvariable (
APRO_API_KEY) einspielen.
Fehlerantworten
| Status | Bedeutung |
|---|---|
401 Unauthorized | x-api-key-Header fehlt oder ist ungültig. |
403 Forbidden | Key gültig, aber nicht für Standort oder Aktion berechtigt. |
429 Too Many Requests | Rate-Limit erreicht. Mit exponentiellem Backoff erneut versuchen. |