Personal Access Tokens

Übersicht

Personal Access Tokens (PATs) bieten eine einfachere Alternative zu OAuth-Token für den Zugriff auf die Content Management API (CMA). Wie OAuth-Token sind PATs an den/die Nutzer*in gebunden, der/die sie anfordert, und verfügen über die gleichen Berechtigungen, einschließlich des Zugriffs auf Unternehmen, Spaces und Content.

Der Hauptunterschied besteht darin, dass mit OAuth eine App autorisiert ist, in Ihrem Namen mit Contentful zu interagieren, und Sie die Anmeldeinformationen möglicherweise nie sehen. Mit PATs fordern Sie die Anmeldeinformationen direkt an und verwalten sie.

Wählen Sie basierend auf Ihrem Anwendungsfall zwischen PATs und OAuth-Token:

  • OAuth ist ideal für Apps, bei denen sich mehrere Nutzer*innen bei Contentful authentifizieren müssen.

  • Im Gegensatz dazu werden PATs von Nutzer*innen verwaltet und sind an ein einzelnes Konto gebunden, wodurch sie sich für Entwicklungs- und Automatisierungsaufgaben eignen, die den Zugriff von einem einzelnen Contentful-Konto aus erfordern.

Personal Access Tokens: API-Endpunkte

Wir haben unserer CMA neue Endpunkte hinzugefügt, um Personal Access Tokens zu verwalten, sodass Sie sie über unsere API erstellen, auflisten und widerrufen können. Sie können alle Details in den Dokumenten finden, aber lassen Sie uns einen kurzen Blick darauf werfen. Um ein Personal Access Token zu erstellen, senden Sie eine POST-Anfrage an https://api.contentful.com/users/me/access_tokens mit dem Text.

Die Antwort enthält das neu generierte Zugriffstoken. Aber Vorsicht: Dies ist das einzige Mal, dass Ihnen das Personal Access Token angezeigt wird. Stellen Sie also sicher, dass Sie es irgendwo speichern.

Um die aktuellen Token zu navigieren, können Sie GET-Anfragen stellen an https://api.contentful.com/users/me/access_tokens und https://api.contentful.com/users/me/access_tokens/<tokenId>;gt. Beachten Sie, dass diese Endpunkte nur den Namen und den Umfang der Token (und einige Metadaten) zurückgeben, nicht aber das Token selbst. Dies ist eine Beispielantwort:

Der letzte Endpunkt dient zum Widerrufen des Tokens. Senden Sie dazu eine PUT-Anfrage an http://api.contentful.com/users/me/access_tokens/<tokenId>/revoked.

personal access token JSON snippet 1

Die Antwort enthält das neu generierte Zugriffstoken. Aber Vorsicht: Dies ist das einzige Mal, dass Ihnen das Personal Access Token angezeigt wird. Stellen Sie also sicher, dass Sie es irgendwo speichern.

Um die aktuellen Token zu navigieren, können Sie GET-Anfragen stellen an https://api.contentful.com/users/me/access_tokens und https://api.contentful.com/users/me/access_tokens/<tokenId>. Beachten Sie, dass diese Endpunkte nur den Namen und den Umfang der Token (und einige Metadaten) zurückgeben, nicht aber das Token selbst. Dies ist eine Beispielantwort:

personal access token JSON snippet 2

Der letzte Endpunkt dient zum Widerrufen des Tokens. Senden Sie dazu eine PUT-Anfrage an http://api.contentful.com/users/me/access_tokens/<tokenId>/revoked.

Admin-Ansicht für CMA-Token  

Die Seite CMA-Token unter „Einstellungen“ enthält eine vollständige Liste der Personal Access Tokens (PATs), die Zugriff auf Ihr Unternehmen haben.  

CMA tokens-admin view



Die Tabellenzusammenfassung besteht aus dem Token-Namen, dem Erstellungsdatum, dem Ablaufdatum, dem/der Autor*in, dem Token-Typ und dem Status des Tokens. Sie können Filter anwenden, um nach Token nach Erstellungsdatum, Ablaufdatum, Token-Typ und Status des Tokens zu suchen.  

Um nach einem Token zu suchen, können Sie die letzten vier Ziffern des Tokens eingeben. 

Token vom Unternehmen widerrufen  

Personal Access Tokens sind an die Nutzer*innen in Ihrem Unternehmen gebunden. Um zu verhindern, dass ein Token auf Ihr Unternehmen zugreift, können Sie auf den Namen von Autor*innen klicken und ausgewählte Nutzer*innen aus Ihrem Unternehmen entfernen. Dadurch wird auch der Zugriff aller anderen Token, die diesen Nutzer*innen gehören, auf Ihr Unternehmen entfernt. 

HINWEIS: Um ein Token zu widerrufen, müssen betreffende Nutzer*innen (unter Autor*in in der Tabelle) aus dem Unternehmen entfernt werden. 

Nutzer*innen aus dem Unternehmen entfernen  

Um Nutzer*innen aus dem Unternehmen zu entfernen, klicken Sie auf den Benutzernamen in der Spalte „Autor*in“. Es erscheint ein Modal-Fenster mit dem Zugriff des Nutzers/der Nutzer*in auf Spaces und Teams. Klicken Sie unten im Modal auf Aus Organisation entfernen und auf das Bestätigungsmodal. 

Sobald der/die Nutzer*in aus dem Unternehmen entfernt wurde, haben seine/ihre Token keinen Zugriff mehr auf Ihr Unternehmen. 

Sicherung von CMA-Token  

Content Management API-Token verhalten sich ähnlich wie Passwörter. Alle Nutzer*innen können sie in Contentful in Ihrem Namen verwenden, daher ist es wichtig, diese Anmeldeinformationen zu schützen. 

Sie müssen Umgebungsvariablen größtmöglich einsetzen. Fügen Sie jede Datei, in der ein Token erwähnt wird, zu Ihrer VCS-Ignorieren-Liste hinzu, um sicherzustellen, dass es nicht geleakt werden kann.

Ein Personal Access Token ohne Content Management Access Token erhalten

Sie müssen ein Content Management API-Token aus der Contentful Web-App abrufen. Sie können es im API-Bereich anfordern.

Anwendungsfälle für OAuth-Apps und Personal Access Tokens

OAuth-Apps ermöglichen es anderen Nutzer*innen, sich bei Contentful zu authentifizieren, damit Ihre App das ausgegebene Token als Teil ihres Prozesses verwenden kann. 

Personal Access Tokens sind persönlich, was bedeutet, dass sie an ein einzelnes Contentful-Nutzerkonto gebunden sind. Dies macht Personal Access Tokens zu guten Kandidat*innen für Entwicklungs- und Automatisierungszwecke, wenn eine Anwendung nur ein einzelnes Contentful Konto zur Verwaltung von Content benötigt.

Von der OAuth-App ausgegebene Token und Personal Access Tokens

Beide Anwendungsfälle sind Token-Aussteller, die für den Zugriff auf die Contentful Content Management API verwendet werden. Beide sind an den/die Nutzer*in gebunden, der/die sie angefordert hat. Beide haben Zugriff auf die gleichen Unternehmen, Spaces und den gleichen Content wie der/die Owner*in des Tokens.

Mit OAuth autorisieren Sie eine App, in Ihrem Namen mit Contentful zu interagieren. Sie sehen möglicherweise nie die Anmeldeinformationen, die die App verwendet. Mit Personal Access Tokens sind Sie hingegen dafür verantwortlich, die Anmeldeinformationen für die API anzufordern und anschließend zu verwalten.

Ablaufdaten von Personal Access Tokens  

Wenn Sie ein Personal Access Token erstellen, empfehlen wir Ihnen, ein Ablaufdatum für Ihr Token festzulegen. Wenn das Ablaufdatum Ihres Tokens erreicht ist, wird es automatisch widerrufen. Fügen Sie ein Ablaufdatum hinzu, um die Fähigkeit Ihres Unternehmens zu erhöhen, den Zugriff auf Ihre Daten zu sichern.

Ablaufdatum für Personal Access Tokens festlegen

HINWEIS: Sie können kein Ablaufdatum für vorhandene Token festlegen. 

Um ein Ablaufdatum für ein Personal Access Token hinzuzufügen, müssen Sie ein neues Token erstellen. Klicken Sie in der oberen rechten Ecke der Seite CMA-Token auf Persönliches Zugriffstoken erstellen. Geben Sie im Modal den Namen des neuen Tokens ein und wählen Sie ein Ablaufdatum aus der Dropdown-Liste. Klicken Sie auf Generieren, um das neue Token zu erstellen.  

create-personal-access-token

Wenn ein Token bald abläuft, erhalten Personen, die das Token erstellt haben, E-Mail-Benachrichtigungen mit Anleitungen zum Erstellen eines neuen Tokens. Token mit einer Ablaufzeit von weniger als 1 Tag erhalten jedoch keine E-Mail-Benachrichtigung. 

Personal Access Token über die Web-App erhalten

Wählen Sie in der Hauptnavigation Einstellungen und dann CMA-Token. Klicken Sie auf Zugriffstoken erstellen und geben Sie den gewünschten Namen ein. 

Wichtig: Kopieren Sie das Token. Ähnlich wie bei anderen API-Anfragen erhalten Sie nach dem Schließen dieses Fensters keinen Zugriff auf das Token.

Nachdem Sie ein Token erstellt haben, wird es (zusammen mit allen vorherigen Token, die Sie erstellt haben) auf derselben Seite angezeigt, auf der Sie sie widerrufen können.