API-Authentifikation

---
title: Authentifikation
---
sequenceDiagram
    autonumber
    actor Client
    participant REST API

    Client->>+REST API: Anfrage an /auth/login
    REST API-->>-Client: Antwort mit Token und Verfallsdatum

    loop API-Aufrufe
        Client->>+REST API: Anfrage mit Token
        REST API-->>-Client: Antwort der API
    end

    Client->>REST API: Anfrage mit Token an /auth/logout

Die REST API von Customa verwendet ein HTTP Bearer-basiertes Authentifikationsschema. Um sich bei der Customa-API zu authentifizieren, muss eine Anfrage mit Zugangsdaten für einen Benutzer mit API-Zugriff und eine Projekt-ID an den /auth/login-Endpunkt gesendet werden.

Wenn die Anfrage erfolgreich war, enthält die Antwort ein Token und ein Verfallsdatum. Das Token ist zufällig, hat abseits von der Authentifikation keine besondere Bedeutung und muss nicht weiter verarbeitet werden. Es ist gültig bis zu dem angegebenen Verfallsdatum und muss bei API-Nutzungen, die länger als ein paar Minuten dauern regelmäßig erneuert werden.

Um sich bei der API zu authentifizieren, müssen die Anfragen einen Authorization-Header mit dem Inhalt Bearer gefolgt von dem Token enthalten. Mit dem /auth/refresh-Endpunkt kann ein neues Token während einer Sitzung erstellt werden. Nach dem erneuern verfällt das alte Token sofort, an dessen Stelle muss das neue zurückgegebene Token verwendet werden.

Am Ende der API-Nutzung kann das Token mit dem /auth/logout-Endpunkt manuell gelöscht werden. Wenn das Token nicht manuell gelöscht wird, wird dieses automatisch nach einer gewissen Zeit verfallen.