Table of Contents

Authorisierung

Die API von STAR beantwortet Anfragen nur, wenn im Header des HTTPS Posts der API-Key angeben ist, den der Anwender für sein IK generiert hat.

Beispiel-Header:

Content-Type: application/json
Accept: application/graphql-response+json
Authorization: Bearer eyJhbGciOiJIUzI1NiIsImtpZCI6IjEiLCJ0eXAiOiJKV1QifQ.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.R47h8RLOFBAK2-vJb8j5_iHz0ADJRgGPtagV28Awdak

Der API-Key ist ein ein Jahr gültiges JSON Web Token (JWT).
API-Keys werden immer pro IK ausgegeben.

Die Generierung des ersten Tokens erfolgt über das Portal von STAR unter https://app.play.abrechnung.io/token für die Testumgebung oder unter https://app.abrechnung.io/token für die Produktivumgebung.

Note

Das Token wird von STAR nicht gespeichert. Das PVS ist für sichere Aufbewahrung des Tokens verantwortlich.

API-Key automatisch verlängern

Das PVS soll die Gültigkeit des API-Key regelmäßig überprüfen und das Token rechtzeitig vor Ablauf über die API verlängern. Dies ist wie folgt möglich:

Innerhalb der Payload des JWT ist ein Ablaufzeitpunkt codiert (Eigenschaft exp). Solange dieser Ablaufzeitpunkt noch nicht überschritten ist, kann ein neues Token über die API angefordert werden. Dazu dient die generateApiToken Mutation. Diese Aktion soll etwa drei Monate vor Ablauf des Tokens ohne weitere Benutzerinteraktion durchgeführt werden, damit der Benutzer den Kopplungsvorgang über das Portal nicht jährlich wiederholen muss.

Note

Mit Ausgabe eines neuen Tokens wird das alte Token ungültig!

Warning

Wird der Ablaufzeitpunkt überschritten, muss das PVS über das Portal manuell neu mit STAR gekoppelt werden.