Hoe werkt een API sleutel?
In i-Reserve bestaan er twee soorten API-sleutels, met een verschillend doel. Beide worden beheerd via Configuratie → Systeem → API. Hieronder lichten we ze allebei toe.
1. Anonieme sleutel (per licentie)
Voor de webservice gelden verschillende beveiligingsniveaus. Voor anonieme calls, zoals het opvragen van de kenmerken van een object, is anonieme toegang mogelijk.
De anonieme calls kunnen wel beveiligd worden. Daarmee worden de calls uiteraard minder toegankelijk. Dit scenario is met name van toepassing voor systeemtoepassingen.
Op de configuratiepagina is het mogelijk een sleutel aan te maken of te vervangen. Per licentie is één sleutel mogelijk. Nadat de sleutel is ingesteld, dient deze bij alle anonieme opvragingen te worden meegegeven (in de header IRES-SECRET). Deze sleutel selecteert de licentie en logt géén gebruiker in.
2. API-sleutel per gebruiker
Beschikbaar vanaf i-Reserve versie 5.42. Naast de anonieme sleutel kan er per gebruiker een API-sleutel worden aangemaakt. Anders dan de anonieme sleutel authenticeert deze de aanroep: de aanroep gebeurt alsof de betreffende gebruiker is ingelogd, met diens rechten (autorisatieprofiel). Zo kan een integratie de API benaderen zonder telkens een aparte login-call en zonder dat er een wachtwoord meegestuurd wordt.
Aanmaken. Ga naar Configuratie → Systeem → API. Kies onderaan, bij de sleutels per gebruiker, de gewenste gebruiker en klik op API sleutel aanmaken. De volledige sleutel wordt daarna eenmalig getoond — bewaar deze direct op een veilige plek. De sleutel wordt gehasht opgeslagen (sinds versie 5.45) en kan later niet meer worden ingezien; in het overzicht is alleen een gemaskeerde versie zichtbaar.
Formaat. Een gebruikerssleutel heeft de vorm sk_<licentie>_<gebruiker>_<geheim>.
Gebruiken. Geef de sleutel per aanroep mee in een header, bijvoorbeeld X-API-KEY: sk_… of Authorization: Bearer sk_….
Intrekken. In het overzicht met sleutels verwijder je een sleutel met het prullenbak-icoon. De sleutel is daarna direct ongeldig.
Zie ook Hoe werkt de beveiliging van de API? voor alle authenticatiemethodes.






