Sortico

API-Keys für externe Integrationen

Eigene Automatisierungen — Sortico per API steuern

Von der Sortico Redaktion · aktualisiert am · Lesezeit 4 min

Was sind API-Keys?

API-Keys ermöglichen es externen Anwendungen, mit Sortico zu kommunizieren — ohne dein Passwort preiszugeben. Du erstellst einen Key in Sortico, trägst ihn in der externen Anwendung ein, und sie kann dann im Rahmen der vergebenen Berechtigungen (Scopes) auf deine Sortico-Daten zugreifen.

Typisches Format: sk-sortico-abc123xyz...

API-Keys werden nur einmalig angezeigt — direkt nach dem Erstellen. Sortico speichert nur den Hash, nicht den Klartext. Wenn du den Key nicht sofort kopierst und sicher speicherst, musst du einen neuen erstellen.

Typische Anwendungsfälle

AnwendungsfallBeispiel
Buchhaltungssoftware anbindenAutomatischer Rechnungsimport aus einer ERP-Lösung
Dokumente automatisch hochladenScanner-Software überträgt Scans direkt an Sortico
Fristenüberwachung integrierenKalender-App liest Fristen aus Sortico-Dokumenten
Eigene Skripte und AutomatisierungenPython-Skript erstellt monatlich Auswertungen
Zapier / Make / n8nWorkflows triggern bei neuen Dokumenten oder Rechnungen

Sortico stellt eine vollständige REST-API unter /v1/ bereit — alle Funktionen, die du in der App siehst, sind auch per API erreichbar. Die Dokumentation findest du unter /v1/docs.

Sofort integrieren

Sorticos REST-API ist vollständig dokumentiert und folgt OpenAPI 3.1. Du kannst sie mit jedem HTTP-Client ansprechen — ob Python, JavaScript, curl oder einem No-Code-Tool wie Zapier.

Authentifizierung per Bearer-Token — kein OAuth-Tanz, kein Redirect-Flow. Einfach Key eintragen, anfangen.

14 Tage kostenlos testen

Scopes und Berechtigungen

Jeder API-Key hat nur Zugriff auf die Bereiche (Scopes), die du beim Erstellen festlegst:

ScopeErlaubt
documents:readDokumente lesen und herunterladen
documents:writeDokumente hochladen und aktualisieren
invoices:readRechnungen lesen
invoices:writeRechnungen erstellen und aktualisieren
payroll:readLohnabrechnungen lesen
payroll:writeLohnabrechnungen erstellen und abschließen
banking:readKontoauszüge und Transaktionen lesen
banking:writeTransaktionen importieren und zuordnen
adminVollzugriff — nur wenn unbedingt nötig
Tipp: Vergib immer nur die Scopes, die die Integration wirklich braucht. Wenn ein Scanner nur Dokumente hochladen soll, reicht documents:write — kein Lesezugriff auf Payroll nötig.

API-Key widerrufen

  1. Gehe zu EinstellungenAPI-Keys
  2. Finde den Key in der Liste (nach Name oder Erstellungsdatum)
  3. Klicke auf Widerrufen
  4. Bestätige mit deiner Sicherheits-PIN
  5. Der Key ist sofort ungültig — Anfragen damit werden mit 401 Unauthorized abgewiesen

Widerrufene Keys erscheinen weiterhin in der Liste (als inaktiv), damit du die Aktivitätshistorie nachvollziehen kannst. Sie können nicht reaktiviert werden — erstelle bei Bedarf einen neuen.

Sicherheit — Best Practices

  • Ein Key pro Integration — niemals denselben Key in mehreren Anwendungen verwenden
  • Minimale Scopes — nur die nötigsten Berechtigungen vergeben
  • Keys nicht in Code einbetten — nutze Umgebungsvariablen oder Secrets-Manager
  • Keys nicht per E-Mail oder Chat teilen — behandle sie wie Passwörter
  • Ablaufdatum setzen — besonders für temporäre Integrationen
  • Aktivitätsliste prüfen — regelmäßig schauen, ob unbekannte Anfragen auftauchen
  • Keys bei Mitarbeiterwechsel widerrufen — wenn ein Mitarbeiter geht, der einen Key kannte

Typische Fehler vermeiden

Key im Git-Repository committen. Wenn du einen API-Key in Code einbettest und dann commitest, ist er öffentlich — auch wenn du ihn später löschst. Nutze immer Umgebungsvariablen. Widerrufe einen versehentlich commiteten Key sofort.
Admin-Scope für einfache Integrationen verwenden. Admin-Zugriff ist selten nötig. Ein Scanner braucht nur documents:write, ein Reporting-Tool nur invoices:read. Minimale Scopes schützen dich, wenn ein Key kompromittiert wird.
Key verloren ohne Backup. API-Keys werden nur einmal angezeigt. Speichere sie sofort in einem Passwort-Manager. Wenn du einen Key verlierst, musst du einen neuen erstellen und alle Stellen aktualisieren, wo der alte verwendet wurde.
Abgelaufene Keys nicht aufräumen. Halte die Key-Liste übersichtlich — benenne Keys klar und widerrufe nicht mehr benötigte. Unübersichtliche Key-Listen machen es schwerer, im Notfall schnell zu reagieren.

Häufig gestellte Fragen

Was ist ein API-Key?
Ein API-Key (auch: API-Schlüssel) ist ein geheimer Token, der externen Anwendungen erlaubt, im Namen deines Sortico-Accounts auf die API zuzugreifen. Er ersetzt dabei dein Passwort — du gibst ihn nicht weiter, sondern trägst ihn in der externen Anwendung ein.
Wie verwende ich einen API-Key in meiner Anwendung?
Füge den Key als Bearer-Token im HTTP-Header ein: Authorization: Bearer sk-sortico-xxxx. Alle API-Endpunkte unter /v1/ akzeptieren dieses Format.
Was passiert wenn ein API-Key kompromittiert wird?
Widerrufe ihn sofort in den Einstellungen — der Key wird innerhalb von Sekunden ungültig. Erstelle dann einen neuen Key mit eingeschränkten Scopes. Prüfe in der API-Aktivitätsliste, welche Anfragen mit dem alten Key gemacht wurden.
Kann ich sehen, was mit einem API-Key gemacht wurde?
Ja — Sortico protokolliert alle API-Anfragen mit Zeitstempel, Endpunkt und HTTP-Status. Die Aktivitätsliste findest du in den API-Key-Einstellungen.
Kann ich mehrere API-Keys erstellen?
Ja, beliebig viele. Empfehlung — ein Key pro Integration oder Anwendung. So kannst du einen Key widerrufen, ohne alle anderen zu beeinflussen.
Haben API-Keys ein Ablaufdatum?
Standardmäßig laufen API-Keys nicht ab. Du kannst beim Erstellen optional ein Ablaufdatum setzen — empfohlen für temporäre Integrationen.

Begriffe einfach erklärt

API-Key
Ein geheimer Token zur Authentifizierung gegenüber der Sortico-API. Ersetzt das Passwort für maschinelle Zugriffe.
Bearer-Token
Das HTTP-Authentifizierungsschema für API-Keys — der Key wird im Header übertragen: Authorization: Bearer sk-sortico-xxx.
Scope
Eine definierte Berechtigung, die einem API-Key zugeordnet wird — z.B. documents:read oder invoices:write. Scopes begrenzen den Zugriff auf das Nötigste.
REST-API
Eine standardisierte Schnittstelle für die Kommunikation zwischen Anwendungen über HTTP. Sortico stellt eine vollständige REST-API unter /v1/ bereit.
Widerruf
Das sofortige Ungültigmachen eines API-Keys. Anfragen mit einem widerrufenen Key werden abgewiesen.
401 Unauthorized
Der HTTP-Fehlercode, den die API zurückgibt, wenn ein Key ungültig oder widerrufen ist.

Redaktioneller Hinweis: Dieser Artikel wurde am fachlich geprüft. Bei konkreten steuerlichen Fragen wende dich an deinen Steuerberater.

Probiere Sortico jetzt aus

14 Tage kostenlos starten