API-Keys

API-Keys erstellen

  1. Logg dich in deinen innoGPT-Account ein

  2. Geh zu Einstellungen → API-Keys

  3. Klick auf API-Key erstellen

  4. Gib einen aussagekräftigen Namen ein (z. B. „Backend-Prod", „CI-Pipeline")

  5. Setze ein monatliches Limit (siehe unten — wichtig!)

  6. Optional: IP-Allowlist konfigurieren

  7. Kopiere den Key sofort — er wird nur ein einziges Mal angezeigt

API-Key verwenden

In jedem Request im Authorization-Header:

Authorization: Bearer sk_live_************************

Beispiel:

curl -X POST \ -H "Authorization: Bearer sk_live_dein_key" \ -H "Content-Type: application/json" \ https://app.innogpt.de/api/ext/v1/chat/completions \ -d '{ "model": "gpt-5", "messages": [{"role": "user", "content": "Hallo!"}] }'

⚠️ Wichtig: Setze immer ein Limit für deinen API-Key

Beim Erstellen eines neuen API-Keys definiere unbedingt ein monatliches Nutzungslimit. Das schützt dich vor:

  • Versehentlichem Überverbrauch — z. B. wenn ein Skript in einer Endlosschleife landet

  • Missbrauch bei kompromittiertem Key — falls dein Key in ein öffentliches Repo gelangt

  • Unkontrollierten Kosten durch Premium-Modelle in langen Sessions

So legst du das Limit fest:

  • Beim Erstellen → Feld „Monatliches Limit" ausfüllen

  • Nachträglich → Einstellungen → API-Keys → 3-Punkte-Menü → Limit bearbeiten

Info: Aktuell musst du den innoGPT Support anschreiben, damit du dein API Limit erhöhen kannst.

Sicherheits-Best-Practices

Keys geheim halten

  • Niemals API-Keys in Git committen

  • Environment-Variables nutzen (.env-Datei in .gitignore)

  • ✅ Keys regelmäßig rotieren (alle 90 Tage empfohlen)

  • Separate Keys für Entwicklung und Produktion verwenden

Key-Rotation

Über den API-Endpoint:

curl -X POST \ -H "Authorization: Bearer $OLD_KEY" \ https://app.innogpt.de/api/ext/v1/api-keys/rotate

Oder im Account: Einstellungen → API-Keys → 3-Punkte-Menü → Key rotieren.

IP-Allowlists

Für zusätzliche Sicherheit: Beschränke API-Key-Nutzung auf bestimmte IP-Adressen.

  1. Geh zu Einstellungen → API-Keys

  2. Wähle den Key → Bearbeiten

  3. Füge erlaubte IP-Adressen oder CIDR-Bereiche hinzu

  4. Speichern

Anfragen von nicht erlaubten IPs werden mit 403 Forbidden abgelehnt.

Rate Limits

Jeder API-Key hat konfigurierbare Limits:

Limit-TypBeschreibung

Pro Minute

Maximale Anfragen pro Minute

Pro Tag

Maximale Anfragen pro Tag

Concurrent

Maximale gleichzeitige Anfragen

Limits stehen in den Response-Headern:

X-RateLimit-Limit: 100 X-RateLimit-Remaining: 95 X-RateLimit-Reset: 1699999999

Fehler-Antworten

Ungültiger API-Key (401)

{ "error": { "message": "Invalid API key provided", "type": "authentication_error", "code": "invalid_api_key" } }

Fehlender API-Key (401)

{ "error": { "message": "No API key provided", "type": "authentication_error", "code": "missing_api_key" } }

IP nicht erlaubt (403)

{ "error": { "message": "Request IP not in allowlist", "type": "authentication_error", "code": "ip_not_allowed" } }

Team-API-Zugriff

API-Keys sind team-gebunden. Voraussetzungen:

  • ✅ Aktives Abo mit API-Zugriff

  • ✅ Mindestens ein erstellter API-Key

  • ✅ Ausreichendes Budget (falls Limits gesetzt)

Sprich deinen Workspace-Admin an, falls du noch keinen Zugriff hast.