Elido
Hilfe-Center
API & SDKs

API-Schlüssel rotieren oder widerrufen

Einen neuen Schlüssel ausstellen, den alten außer Betrieb nehmen und nach einem Leak aufräumen — ohne laufende Integrationen zu unterbrechen.

3 Min. LesezeitAktualisiert 2026-05-15

Was Sie tun

  • Rotieren Sie einen Schlüssel ohne Ausfallzeit, indem Sie zuerst den Ersatzschlüssel ausstellen und den alten erst widerrufen, nachdem der neue als aktiv bestätigt wurde.
  • Widerrufen Sie einen geleakten Schlüssel sofort — die Propagierung in alle Regionen dauert maximal 60 Sekunden.
  • Speichern Sie Schlüssel in Umgebungsvariablen oder einem Secret Manager, niemals im Code, und rotieren Sie, wenn ein Teammitglied mit Zugang das Team verlässt.

API-Schlüssel sind langlebige Bearer-Token. Sie regelmäßig zu rotieren — und sie sofort zu widerrufen, wenn einer geleakt wurde — lohnt sich, wenn es richtig gemacht wird. Dieser Artikel behandelt beide Fälle.

Schlüssel ohne Ausfallzeit rotieren#

Rotation bedeutet, einen neuen Schlüssel auszustellen, bevor der alte außer Betrieb genommen wird, damit keine Lücke entsteht, in der Ihre Integration unauthentifiziert ist.

  1. Gehen Sie zu Einstellungen → API-Schlüssel und klicken Sie auf Schlüssel generieren.
  2. Geben Sie dem neuen Schlüssel einen aussagekräftigen Namen (z. B. production-v2).
  3. Wählen Sie dieselbe Rolle wie der zu ersetzende Schlüssel.
  4. Kopieren Sie das Token — es wird nur einmal angezeigt.
  5. Aktualisieren Sie Ihre Umgebungsvariable oder Ihren Secret Manager mit dem neuen Token und deployen Sie.
  6. Sobald der neue Schlüssel aktiv ist und funktioniert (prüfen Sie die Spalte Zuletzt verwendet — sie sollte sich innerhalb von Minuten ändern), kehren Sie zu Einstellungen → API-Schlüssel zurück und klicken Sie beim alten Schlüssel auf Widerrufen.

Halten Sie den alten Schlüssel aktiv, bis Sie sicher sind, dass der neue funktioniert. Wenn Sie zu früh widerrufen und das Deployment noch nicht ausgerollt ist, erhalten die Anfragen 401-Fehler.

Geleakten Schlüssel sofort widerrufen#

Wenn ein Schlüssel exponiert wurde — in ein öffentliches Repository gepusht, in Logs aufgetaucht, in einem clientseitigen Bundle enthalten — zuerst widerrufen, dann untersuchen.

  1. Einstellungen → API-Schlüssel, finden Sie den Schlüssel anhand seines Namens oder Präfixes (das Präfix ist in der Tabelle sichtbar, obwohl das vollständige Token nicht angezeigt wird).
  2. Klicken Sie auf Widerrufen. Der Widerruf wird innerhalb von 60 Sekunden in alle Regionen propagiert.
  3. Stellen Sie einen Ersatzschlüssel aus und aktualisieren Sie Ihre Secrets.
  4. Prüfen Sie den Zeitstempel Zuletzt verwendet des widerrufenen Schlüssels, um abzuschätzen, wie lange er exponiert war und ob Sie unerwartete Aktivitäten prüfen müssen.

Widerrufene Schlüssel bleiben mit einem revoked-Badge in der Tabelle, damit Sie einen Nachweis haben. Sie können nicht reaktiviert werden.

Secrets sicher aktualisieren#

Das Standardmuster: Schlüssel in Umgebungsvariablen speichern, nicht im Code:

# .env.local (niemals committen)
ELIDO_API_KEY=elido_live_xxx...

import { ElidoClient } from "@elido/sdk";

const client = new ElidoClient({ apiKey: process.env.ELIDO_API_KEY! });

Verwenden Sie für CI-Pipelines den Secret-Speicher Ihrer Plattform (GitHub Actions Secrets, GitLab CI Variablen usw.) und rotieren Sie, wenn ein Mitglied mit Zugang das Team verlässt.

Was mit laufenden Integrationen passiert#

Wenn Sie einen Schlüssel widerrufen, werden bereits gesendete In-Flight-Anfragen noch abgeschlossen — wir validieren beim Start der Anfrage, nicht mitten in der Antwort. Anfragen, die nach dem Widerruf beginnen, erhalten 401 Unauthorized. Die SDKs führen bei 401 keinen Retry durch (das würde zu einer Endlosschleife führen), daher schlägt Ihre Integration sofort fehl.

Planen Sie ein kurzes Überlappungsfenster: Halten Sie den alten Schlüssel aktiv, bis Sie bestätigt haben, dass der neue in der Produktion funktioniert.

Fehlerbehebung#

401 bei einem soeben erstellten Schlüssel. Das bei der Erstellung angezeigte Token ist der vollständige Schlüssel einschließlich des geheimen Suffix. Wenn Sie nur das Präfix aus der Tabelle kopiert haben (z. B. elido_abc123), funktioniert das nicht — das Präfix dient nur der Anzeige. Stellen Sie einen neuen Schlüssel aus und kopieren Sie das vollständige Token.

Schaltfläche „Widerrufen" fehlt. Der Schlüssel ist wahrscheinlich bereits widerrufen. Widerrufene Schlüssel zeigen ein revoked-Badge und keine Aktionsschaltfläche. Vergewissern Sie sich, dass Sie sich im richtigen Workspace befinden — Schlüssel sind workspace-bezogen.

60-Sekunden-Propagierungsfenster. Wenn Sie einen Schlüssel widerrufen haben und Anfragen noch kurz erfolgreich sind, ist das erwartet. Unsere Edge-Knoten synchronisieren den Widerruf über Redis Pub/Sub; die maximale Verzögerung beträgt ca. 60 Sekunden.

Schlüssel aus der Liste verschwunden. Widerrufene Schlüssel werden dauerhaft in der Tabelle für Prüfzwecke gespeichert. Falls Sie ihn nicht finden, prüfen Sie, ob Sie die Liste nicht gefiltert haben — es gibt zwar keinen Standard-Aktivitätsfilter, aber eine Textsuche im Namensfeld blendet nicht übereinstimmende Zeilen aus.

War das hilfreich?
Noch Fragen? Schreiben Sie dem Team - Antwort innerhalb eines Werktages.Support kontaktieren