Zum Inhalt springen
Flino Docs

API-Tokens erstellen und verwalten

Ein API-Token ist ein langer Geheimstring, mit dem du einen externen Client (Zapier, Make, dein eigenes Tool) bei Flino authentifizierst. Pro Token gibt es genau einen festen Scope: offer_import:write — also „Angebote anlegen”. Du verwaltest deine Tokens selbst — es gibt keine Rollen oder Freigaben, der Account-Inhaber legt Tokens an, sieht sie und widerruft sie.

Wo du Tokens findest

Abschnitt betitelt „Wo du Tokens findest“

Einstellungen → Tab Integrationen → Sektion API-Tokens.

Untertitel: „Erstelle Tokens für externe Integrationen wie Zapier oder Zoho CRM. Der Klartext-Token wird nur einmalig nach der Erstellung angezeigt.”

![Screenshot: Sektion API-Tokens mit Liste aktiver Tokens](TODO)

Token erstellen

Abschnitt betitelt „Token erstellen“
  1. Klick auf Neuer Token.
  2. Vergib einen Namen — etwas, das dir später hilft, den Zweck zu erkennen, z. B. „Zoho CRM Produktion”.
  3. Klick auf Token erstellen.

Du siehst jetzt das Modal Token erstellt mit dem Klartext-Token.

Wichtig: Der Klartext wird nur ein einziges Mal angezeigt. Kopier ihn sofort über den Copy-Button und leg ihn in deinem Passwort-Manager oder direkt im externen System ab. Wenn du das Modal schließt, kannst du den Token nicht mehr abrufen — du müsstest einen neuen erstellen.

Token-Liste

Abschnitt betitelt „Token-Liste“

In der Übersicht siehst du:

  • Token-Name
  • Scope-Badge — aktuell immer offer_import:write
  • Erstellt: Datum
  • Zuletzt genutzt: Datum (oder „—” wenn noch nie verwendet)

Token widerrufen

Abschnitt betitelt „Token widerrufen“

Wenn ein Token kompromittiert ist oder nicht mehr gebraucht wird:

  1. Klick rechts auf das Mülleimer-Icon Token widerrufen.
  2. Bestätigungsdialog Token widerrufen? mit dem Token-Namen.
  3. Klick auf Token widerrufen im Dialog.

Toast: „Token erfolgreich widerrufen”. Der Token wird in der Sektion Widerrufene Tokens angezeigt — alle Anfragen mit dem alten Token werden ab sofort mit 401 Token has been revoked abgewiesen.

Widerrufene Tokens können nicht reaktiviert werden. Erstelle bei Bedarf einen neuen Token.

Webhook-URL

Abschnitt betitelt „Webhook-URL“

Im selben Bereich findest du die URL, an die du Anfragen schicken sollst (Sektion „Zapier Webhook URL”). Die URL hat die Form:

https://<euer-projekt>.supabase.co/functions/v1/zapier-offer-import

Den <euer-projekt>-Teil zeigt Flino dir direkt im UI an. Diese Adresse ist kanonisch und dauerhaft — eine eigene API-Subdomain ist nicht geplant.

Sicherheits-Hinweise

Abschnitt betitelt „Sicherheits-Hinweise“
  • Niemals den Token öffentlich committen oder in einem Repository speichern.
  • Nur über HTTPS senden.
  • Header: x-flino-token: <dein-token> — siehe Webhook-Endpoint.
  • Beim Mitarbeiter-Wechsel widerrufen und neu generieren.
  • Pro Tool einen eigenen Token, damit du sie unabhängig revoken kannst.
← Zurück zu flino.com