Authentifizierung¶
Alle v2-API-Endpoints erfordern einen API Key im token-Header.
So funktioniert es¶
sequenceDiagram
participant Y as Ihr Server
participant S as SecPaid API
Y->>S: POST /api/v2/createLink<br/>Header: token: IHR_API_KEY
S->>S: API Key validieren → Benutzer auflösen
S-->>Y: Antwort- Sie senden Ihren API Key im
token-Header - SecPaid validiert den Key und löst Ihr Konto auf
- Ihre Anfrage wird authentifiziert und verarbeitet
Request-Format¶
POST /api/v2/createLink HTTP/1.1
Host: app.secpaid.com
Content-Type: application/json
token: IHRE_API_KEY
{
"amount": 49.99
}
API Key erhalten¶
Ihre API Key finden Sie im Plattform-Dashboard:
- Melden Sie sich in Ihrem SecPaid-Konto an
- Navigieren Sie zu Settings → API & Integrations
- Kopieren Sie Ihren API-Token aus dem angezeigten Feld
Ihre API Key ist ein alphanumerischer String (z.B. S3ZOMroDliZZBWyL). Jede Umgebung (Entwicklung / Produktion) hat einen eigenen Schlüssel.
Ebenfalls auf dieser Seite
Der Tab API & Integrations zeigt auch Ihren Payment Endpoint (Webhook-URL) und Ihren Recipient Token (wird verwendet wenn andere Sie in Split Links referenzieren).
Sicherheits-Best-Practices¶
Halten Sie Ihren Token geheim
Ihre API Key gewährt vollen Zugriff auf Ihr SecPaid-Konto. Behandeln Sie sie wie ein Passwort.
- Speichern Sie den Token in Umgebungsvariablen, niemals in Client-seitigem Code
- Verwenden Sie ausschließlich HTTPS (wird von SecPaid erzwungen)
- Rotieren Sie Ihren Token bei Verdacht auf Kompromittierung — kontaktieren Sie den Support
- Teilen Sie keine Tokens zwischen Umgebungen (Dev vs. Produktion)
Fehler-Antworten¶
Bei fehlgeschlagener Authentifizierung erhalten Sie:
{
"ResponseCode": 0,
"ResponseMsg": "Incorrect token or missing token",
"Result": "False",
"ServerTime": "CEST"
}
Häufige Ursachen:
| Fehler | Ursache |
|---|---|
Fehlender token-Header |
Header nicht in der Anfrage enthalten |
| Ungültige API Key | Token passt zu keinem SecPaid-User |
| Falsche Umgebung | Dev-Token gegen Produktion verwendet oder umgekehrt |