Authentifizierung
Jede REST-Anfrage authentifiziert sich mit einem API-Schlüssel, der als Bearer-Token gesendet wird. (Die öffentlichen Verifizierungs-Endpunkte sind die einzige Ausnahme — sie benötigen keinen Schlüssel, da die gedruckte Seriennummer die Berechtigung darstellt.)
# API-Schlüssel
Erstellen Sie Schlüssel in der App unter Einstellungen → API-Schlüssel. Es gibt zwei Arten:
| Präfix | Verwendung |
|---|---|
mtq_live_… |
Produktion — wird gegen Ihr Planquota berechnet. |
mtq_test_… |
Testen. |
Schlüssel werden einmalig bei der Erstellung angezeigt — speichern Sie sie an einem sicheren Ort. Nur ein SHA-256-Hash wird serverseitig gespeichert, daher kann ein verlorener Schlüssel nicht wiederhergestellt, sondern nur widerrufen und ersetzt werden.
# Versenden des Schlüssels
Fügen Sie einen Authorization-Header zu jeder Anfrage hinzu:
Authorization: Bearer mtq_live_xxxxxxxxxxxxxxxxxxxxxxxx
curl https://mostlyqr.com/api/v1/links \
-H "Authorization: Bearer mtq_live_…"
Ein fehlender, ungültiger oder widerrufener Schlüssel gibt 401 zurück. Jeder Schlüssel ist pro
ein festes Fenster rate-limited; bei Überschreitung wird 429 zurückgegeben. Siehe Fehler.
# Basis-URL
https://mostlyqr.com/api
Anfragen an /api/** werden durch einen Hosting-Rewrite zur REST-Funktion weitergeleitet. (Die rohe
Funktions-URL https://europe-west2-mostly-qr.cloudfunctions.net/restApi funktioniert auch.)
# Plan-Gating
Einige Endpunkte erfordern einen bezahlten Plan: die REST-API und Batch sind Pro+, und
serialisierte Codes sind Enterprise. Eine Anfrage jenseits der Berechtigung Ihres Plans
gibt 403/failed-precondition mit dem Limit im Fehler zurück. Siehe Ihren
Plan in Einstellungen.
# Schlüssel sicher aufbewahren
- Versenden Sie niemals einen Schlüssel in Client-seitigem Code oder einem öffentlichen Repository.
- Rotieren Sie, indem Sie einen neuen Schlüssel erstellen und den alten widerrufen; der Widerruf ist sofort wirksam.