Personal Access Tokens

Sie können ein Personal Access Token im API-Bereich der Contentful Web-App anfordern. Sie benötigen Zugriff auf die Content Management API, um ein Personal Access Token zu generieren.

Standardmäßig werden von Nutzer*innen erstellte Token nicht automatisch für jedes Unternehmen autorisiert, dem sie angehören. Wenn die obligatorische Token-Autorisierung für ein Unternehmen aktiviert ist, müssen die Nutzer*innen jedes Token manuell autorisieren, bevor es verwendet werden kann.

So autorisieren Sie ein Token:

1. Gehen Sie zu der Liste Ihrer Personal Access Tokens.

2. Klicken Sie neben dem Unternehmen, auf das das Token zugreifen soll, auf Autorisieren.

3. Wenn das Unternehmen die Verwendung von SSO obligatorisch macht, werden Sie aufgefordert, sich zu authentifizieren, bevor die Autorisierung abgeschlossen ist.

Dieser zusätzliche Schritt stellt sicher, dass Token nur dort aktiv sind, wo sie absichtlich verknüpft wurden.

Als Admin können Sie die Autorisierung von Token aufheben, um deren Zugriff auf Ihr Unternehmen zu widerrufen, ohne die Nutzer*innen zu entfernen oder die Token vollständig zu widerrufen.

So deaktivieren Sie ein Token:

1. Rufen Sie die Admin-Ansicht für CMA-Token auf.

2. Wählen Sie einen oder mehrere Token aus.

3. Klicken Sie auf Autorisierung aufheben.

Das Token bleibt für alle anderen Organisationen, für die es autorisiert ist, aktiv. Nach der Aufhebung der Autorisierung:

• Der Token-Besitzer wird benachrichtigt.

• Aus Sicherheitsgründen werden alle Admins und Owner von Unternehmen, bei denen die Autorisierung von Tokens aufgehoben wurde, benachrichtigt.

Dies ermöglicht eine feinkörnige Kontrolle über den Token-Zugriff, ohne dabei Nutzer*innen oder Workflows in anderen Unternehmen zu beeinträchtigen.

Content Management API-Token sind genau wie Passwörter. Jeder, der sie erhält, könnte sie verwenden, um Contentful in Ihrem Namen zu verwenden, daher sollten Sie Ihr Bestes tun, um sie zu schützen. Typische Maßnahmen sind: Verweisen Sie möglichst auf Umgebungsvariablen und fügen Sie jede Datei, in der ein Token erwähnt wird, zu Ihrer VCS-Ignorierliste hinzu. So stellen Sie sicher, dass es nicht geleakt werden kann.

HINWEIS: Sie können kein Ablaufdatum für vorhandene Token festlegen. 

Um ein Ablaufdatum für ein Personal Access Token hinzuzufügen, müssen Sie ein neues Token erstellen. Klicken Sie in der oberen rechten Ecke der Seite „CMA-Token“ auf die Schaltfläche Personal Access Token erstellen. Geben Sie im Modal den Namen des neuen Tokens ein und wählen Sie ein Ablaufdatum aus der Dropdown-Liste. Klicken Sie auf Generieren, um das neue Token zu erstellen.

Wenn ein Token bald abläuft, erhalten Personen, die das Token erstellt haben, E-Mail-Benachrichtigungen mit Anleitungen zum Erstellen eines neuen Tokens. Für Token mit einer Ablaufzeit von weniger als 1 Tag wird jedoch keine E-Mail-Benachrichtigung gesendet.

Wenn Sie ein Personal Access Token erstellen, sollten Sie ein Ablaufdatum für Ihr Token festlegen. Wenn das Ablaufdatum Ihres Tokens erreicht ist, wird es automatisch widerrufen. Ablaufdaten verbessern die Fähigkeit Ihres Unternehmens, den Zugriff auf Ihre Daten zu sichern und eine ordnungsgemäße Verwaltung Ihrer Token zu gewährleisten.

Wenn Sie ein Personal Access Token erstellen, empfehlen wir Ihnen, ein Ablaufdatum für Ihr Token festzulegen. Wenn das Ablaufdatum Ihres Tokens erreicht ist, wird es automatisch widerrufen. Fügen Sie ein Ablaufdatum hinzu, um die Fähigkeit Ihres Unternehmens zu erhöhen, den Zugriff auf Ihre Daten zu sichern.

Dies hängt stark von Ihrem Anwendungsfall ab. OAuth-Apps ermöglichen es anderen Nutzer*innen, sich bei Contentful zu authentifizieren, damit Ihre App das ausgegebene Token als Teil ihres Prozesses verwenden kann. Personal Access Tokens sind persönlich, was bedeutet, dass sie an ein einzelnes Contentful Nutzerkonto gebunden sind. Dies macht Personal Access Tokens zu guten Kandidat*innen für Entwicklungs- und Automatisierungszwecke, wenn eine Anwendung nur ein einzelnes Contentful Konto zur Verwaltung von Content benötigt.

Im Grunde genommen ähneln sie sich, da es sich bei beiden um Token für den Zugriff auf die Contentful Content Management API handelt. Beide sind an den/die Nutzer*in gebunden, der/die sie angefordert hat, und geben daher Zugriff auf die gleichen Unternehmen, Spaces und den gleichen Content wie der/die Owner*in des Tokens.

Der Unterschied ist eher konzeptionell: Mit OAuth autorisieren Sie eine App, in Ihrem Namen mit Contentful zu kommunizieren, und sehen möglicherweise nie die Anmeldeinformationen, die die App verwendet. Mit Personal Access Tokens sind Sie hingegen dafür verantwortlich, die Anmeldeinformationen für die API anzufordern und anschließend zu verwalten.

Weil sie eine einfache Möglichkeit bieten, mit unserer Content Management API zu arbeiten, und ein weit verbreiteter Standard sind, der in bekannten Unternehmen und Diensten (wie zum Beispiel Github) verwendet wird.