So erstellen und verwalten Sie Entwickler-API-Schlüssel in FirstSales
Erzeugen Sie API-Schlüssel mit minimalen Rechten und ressourcenspezifischen Berechtigungen, verwenden Sie sie mit der CLI und der REST-API, und rotieren oder widerrufen Sie sie sicher ohne Ausfallzeit.
- 1
Settings → API öffnen
API-Schlüssel finden Sie unter Settings → API. Hier erstellen Sie die Anmeldedaten, mit denen sich die CLI und alle direkten Aufrufe an
https://api.app.firstsales.ioauthentifizieren. Sie benötigen die entsprechende Berechtigung, um diesen Tab zu sehen. - 2
Einen Schlüssel mit minimalen Rechten erstellen
Klicken Sie, um einen Schlüssel zu erstellen, geben Sie ihm einen Namen (etwas, das zeigt, wo er verwendet wird, z. B. „ci-contact-sync"), und aktivieren Sie nur die Scopes, die er benötigt. Scopes sind pro Ressource und in Lese- und Schreibrechte aufgeteilt — z. B.
contacts:read,contacts:write,campaigns:read,kb:read. Es gibt einen*-Scope, der alles gewährt; vermeiden Sie ihn, außer Sie benötigen wirklich vollen Zugriff.
- 3
Den Schlüssel sofort kopieren
Der vollständige Schlüssel wird genau einmal angezeigt — „Copy this key now. It will not be shown again." Kopieren Sie ihn direkt in Ihren Secret Store oder Passwort-Manager. Geht er verloren, können Sie ihn nicht wiederherstellen; Sie widerrufen ihn und erstellen einen neuen. Fügen Sie ihn niemals in Code, Chat oder einen Commit ein.
- 4
Mit der CLI verwenden
Exportieren Sie den Schlüssel als
FIRSTSALES_API_KEY, und die CLI übernimmt ihn automatisch. Prüfen Sie mitwhoami, bevor Sie etwas anderes tun:export FIRSTSALES_API_KEY="fs_live_..." # from your secret store, never hardcoded firstsales whoami --json - 5
Direkt mit der API verwenden
Für rohes HTTP senden Sie den Schlüssel als Bearer-Token. Beginnen Sie mit
whoami, um zu bestätigen, dass der Schlüssel aufgelöst wird, und um zu lesen, welche Org/Workspace er erreichen kann:curl -s https://api.app.firstsales.io/api/v1/whoami \ -H "Authorization: Bearer $FIRSTSALES_API_KEY" - 6
Rotieren und widerrufen
Jeder Schlüssel in der Liste kann widerrufen werden, und der Widerruf ist sofort und ohne Rückgängig-Funktion — jede CLI oder jeder Dienst, der ihn verwendet, schlägt beim nächsten Aufruf fehl. Zum Rotieren: den neuen Schlüssel erstellen, in Ihren Secret Store ausrollen, bestätigen, dass der neue funktioniert, dann den alten widerrufen. Widerrufen Sie sofort, wenn ein Schlüssel jemals offengelegt wird.
Profi-Tipps
Hart erarbeitete Abkürzungen, damit die Aufwärmung auf Kurs bleibt.
Ein Schlüssel pro Verbraucher
Geben Sie CI, Ihrem Laptop und jeder Integration einen eigenen benannten Schlüssel. Wird einer geleakt oder ein Dienst stillgelegt, widerrufen Sie nur diesen Schlüssel, statt alles zu brechen.
Minimale Rechte schlagen Bequemlichkeit
Ein Read-only-Sync braucht kein contacts:write, und fast nichts braucht `*`. Vergeben Sie Scopes eng — ein geleakter Read-only-Schlüssel kann Ihre Daten nicht verändern.
Einmal kopieren, in einem Secret Manager speichern
Der Schlüssel wird nur ein einziges Mal angezeigt. Fügen Sie ihn direkt in Ihren CI-Secret-Store oder Passwort-Manager ein — niemals in Quellcode, eine .env, die Sie versehentlich committen könnten, oder eine Chatnachricht.
Mit Überlappung rotieren, nicht mit Lücke
Erstellen–Ausrollen–Verifizieren–dann-Widerrufen. Ein Widerruf, bevor der Ersatz live ist, verursacht einen Ausfall; das Überlappungsfenster hält Aufrufe während der Rotation am Laufen.
Häufig gestellte Fragen
Wo erstelle ich einen API-Schlüssel?
Settings → API. Geben Sie ihm einen Namen, aktivieren Sie die benötigten Scopes und erstellen Sie ihn. Der Schlüssel authentifiziert sowohl die CLI als auch direkte API-Aufrufe.
Was sind Scopes?
Pro-Ressource-Berechtigungen, aufgeteilt in Lesen und Schreiben — z. B. contacts:read, campaigns:write, kb:read, plus ein *, das alles gewährt. Aktivieren Sie nur, was der Verbraucher des Schlüssels benötigt.
Ich habe meinen Schlüssel verloren — kann ich ihn erneut sehen?
Nein. Der vollständige Schlüssel wird bei der Erstellung einmalig angezeigt (“It will not be shown again”). Geht er verloren, widerrufen Sie diesen Schlüssel und erstellen Sie einen neuen.
Wie nutzt die CLI den Schlüssel?
Setzen Sie ihn als Umgebungsvariable FIRSTSALES_API_KEY; die CLI liest sie automatisch. Führen Sie firstsales whoami aus, um zu bestätigen, dass es funktioniert.
Wie widerrufe ich einen Schlüssel?
Widerrufen Sie ihn in der API-Einstellungsliste. Der Widerruf ist sofort und dauerhaft — alles, was diesen Schlüssel verwendet, schlägt beim nächsten Aufruf fehl, rotieren Sie also zuerst einen Ersatz ein.
Wie sollte ich Schlüssel sicher rotieren?
Erstellen Sie den neuen Schlüssel, rollen Sie ihn aus, bestätigen Sie, dass er funktioniert, und widerrufen Sie dann den alten. Diese Überlappung vermeidet einen Ausfall. Widerrufen Sie nur sofort (ohne Überlappung), wenn ein Schlüssel offengelegt wurde.
Bereit, das in die Praxis umzusetzen?
Starten Sie Ihre FirstSales-Testphase und richten Sie in wenigen Minuten ein aufgewärmtes, authentifiziertes Postfach ein.
Für 1 $ starten