Highlights
API-Keys sind jetzt einsehbar. Erstelle einen in deinem Dashboard, geh weg, komm nächste Woche wieder und der Key wartet hinter einem Klick auf dich. Wir haben außerdem drei Ecken im API-Playground abgerundet, damit der curl-Reproducer tatsächlich läuft.
Neuigkeiten
API-Keys, die du wiedersehen kannst
Die meisten SaaS-APIs zeigen dir einen Key nur einmal. Verlierst du ihn, musst du ihn neu generieren. Jeden Service aktualisieren, der den alten Key nutzt. Neu deployen. Du kennst das Spiel.
Dieses Pattern gefiel uns nicht. Also haben wir es geändert.
Ab jetzt erstellte Keys bringen eine einsehbare Kopie mit. Öffne dein Dashboard, klicke auf das Augensymbol neben einem beliebigen Key, bestätige und der vollständige Wert pk_live_... liegt vor dir. Fünfzehn Sekunden später wird er automatisch ausgeblendet und von der Seite gelöscht. Jede Offenlegung wird im Audit-Log erfasst.
Ein paar Details, die uns wichtig waren:
- Der Pfad zur Authentifizierung deiner Requests ist weiterhin ein unberührter Einweg-Hash. Die einsehbare Kopie ist ein zweites, verschlüsseltes Artefakt (AES-256-GCM), das daneben liegt. Selbst wenn wir den Verschlüsselungs-Key rotieren würden, liefe die Validierung weiter.
- Keys, die vor dieser Änderung erstellt wurden, können nicht offengelegt werden. Sie haben keine verschlüsselte Kopie zum Auslesen. Über den Hash-Pfad funktionieren sie für immer weiter. Das Dashboard zeigt ein kleines Schloss-Symbol und den Hinweis "regenerate to enable", damit du weißt, welche Keys die neue Funktion unterstützen und welche nicht.
- Die Zugriffskontrolle entspricht dem Rest der Keys-API. Du kannst deine eigenen Keys einsehen. Ein Org-Admin kann jeden Key in der Org einsehen. Mitglieder mit Schreibrechten fürs Team können Team-Keys einsehen. Read-only-Rollen können das nicht.
- Keys, die ein Org-Admin im Namen eines Teammitglieds erstellt, sind ebenfalls einsehbar, nach denselben Regeln. Die Funktion ist an den Key gebunden, nicht an die Oberfläche, auf der er erstellt wurde.
Wenn du bisher Einträge im Passwortmanager für FourA-Keys gehortet hast, kannst du damit aufhören.
Der curl-Reproducer ist jetzt echtes curl
Jeder Request, den du im Playground baust, liefert direkt ein kopierbares curl mit. Die Idee ist einfach: Baue den Request in der UI, kopiere das curl, füge es in ein Skript, das Terminal eines Kollegen oder einen Bug-Report ein.
Bis zu dieser Woche hatte das curl einen Platzhalter an der Stelle des Keys (PASTE_PLAINTEXT_FOR_my-key), den du vor dem Ausführen manuell ersetzen musstest. Der Reproducer war kein Reproducer. Er war ein Template.
Das ist vorbei. Für jeden einsehbaren Key bietet der Playground einen Reveal-Button im curl-Panel. Ein Klick darauf fügt den echten Klartext in das curl ein – kopiere das Ganze, füge es in dein Terminal ein und es läuft. Klicke erneut, um ihn auszublenden. Die Offenlegung erfolgt nur im Speicher für diese Session, wird nie auf die Festplatte geschrieben, und das curl-Panel folgt dem Key-Dropdown, sodass beim Wechseln der Keys nichts durchsickert. Ältere, nicht einsehbare Keys zeigen weiterhin den Platzhalter, da wir ihren Klartext nicht wiederherstellen können.
Cancel-Button für laufende Requests
Wenn du einen Playground-Request gegen eine langsame Zielseite abgefeuert hast, konntest du bisher nur auf den Timeout warten. Wir haben dem Lade-Panel einen Cancel-Button hinzugefügt. Ein Klick darauf bricht den Request sauber ab, und der Response-Bereich kehrt mit "Request canceled." in den Ruhezustand zurück, statt einen gruseligen Fehler anzuzeigen.
Eine Kleinigkeit. Aber der Playground fühlt sich jetzt wie ein echtes Tool an, nicht wie eine Demo. Du kannst eine instabile Seite testen, abbrechen, den Request anpassen und es erneut versuchen, ohne jemals davorzusitzen und zu warten.
Unter der Haube
Drei kleine Nachbesserungen am curl-Reveal-Button nach dem ersten Release: Der Error-Toast zeigt eine verständliche Nachricht statt des maschinellen Fehlercodes, der Button bleibt nicht bei "Revealing…" hängen, falls an anderer Stelle ein Fehler auftritt, und ein CSS-Spezifitäts-Bug, der den Button bei Keys ohne Reveal-Support sichtbar hielt, ist behoben.
Falls dir davon etwas aufgefallen ist: Es sollte behoben sein. Falls nicht, hast du nichts verpasst.
Generieren, kopieren, einfügen, vergessen. Später wiederkommen. Das Dashboard merkt es sich.