Authentifizierung

Jede REST-Anfrage (außer signierten Render-URLs) authentifiziert sich mit einem API-Schlüssel, der als Bearer-Token gesendet wird.

# API-Schlüssel

Erstellen Sie Schlüssel in der App unter Einstellungen → API-Schlüssel. Es gibt zwei Arten:

Präfix	Verwendung
`mr_live_…`	Produktion — zählt gegen das Kontingent Ihres Plans und die Abrechnung.
`mr_test_…`	Testen.

Schlüssel werden einmal bei der Erstellung angezeigt — speichern Sie diese sicher. Nur ein SHA-256-Hash wird auf der Serverseite beibehalten, sodass ein verlorener Schlüssel nicht wiederhergestellt, sondern nur widerrufen und ersetzt werden kann.

# Senden des Schlüssels

Fügen Sie jedem Request einen Authorization-Header hinzu:

http

Authorization: Bearer mr_live_xxxxxxxxxxxxxxxxxxxxxxxx

bash

curl https://api.mostlyrender.com/v1/account \
  -H "Authorization: Bearer mr_live_…"

GET /v1/account ist der einfachste Weg, einen Schlüssel zu überprüfen — er gibt das verbundene Konto zurück oder 401, wenn der Schlüssel fehlt, ungültig oder widerrufen ist.

json

{ "plan": "pro", "email": "you@example.com", "display_name": "Ada Lovelace" }

# Basis-URL

text

https://api.mostlyrender.com

Bis die benutzerdefinierte API-Domain angehängt ist, ist der Live-Host https://mostly-render-api.web.app. SDKs erlauben die Überschreibung von base_url.

# Schlüssel sicher aufbewahren

Versenden Sie niemals einen Schlüssel in Client-seitigem Code. Verwenden Sie stattdessen für Browser/<img>-Nutzung signierte Render-URLs — diese benötigen keinen Schlüssel.
Rotieren Sie, indem Sie einen neuen Schlüssel erstellen und den alten widerrufen; der Widerruf ist sofort wirksam.