Token

Zuletzt aktualisiert: 3. Juli 2026

Stellen Sie sich vor, Sie haben einen Online-Shop für Kleidung aufgebaut. Die Produkte, die Sie im Content-Studio eingetragen haben, sollen auf der Shop-Website abgerufen und Ihren Kundinnen und Kunden angezeigt werden. Diese Website ist allerdings kein Mensch, sondern ein Programm. Sie kann sich nicht wie ein Mensch mit Benutzername und Passwort anmelden. Für diesen Fall gibt es den Token: einen geheimen Schlüssel, der ausgegeben wird, damit eine Website oder ein Programm anstelle eines Menschen auf Inhalte zugreifen kann.

Stellen Sie sich einen Token als einen einzelnen Schlüssel vor, der ein Schloss öffnet. Wer diesen Schlüssel besitzt, kann auch ohne Anmeldung innerhalb eines festgelegten Bereichs mit Inhalten arbeiten. Deshalb müssen Sie einen Token genauso behandeln wie ein Passwort. Sie dürfen ihn niemandem zeigen, und wenn er nach außen gelangt, kann die Person, die ihn besitzt, dieselben Rechte ungehindert nutzen.

In WEEGLOO gibt es zwei Arten von Schlüsseln mit unterschiedlichem Zweck. Der eine ist ein mächtiger, an ein Konto gebundener Schlüssel (Personal Access Token), der andere ist ein enger Schlüssel, um Inhalte zum Lesen an eine öffentliche Website auszuliefern (Delivery Access Token). Auf dieser Seite sehen Sie sich zunächst an, was die beiden Schlüssel jeweils sind und wann sie eingesetzt werden, und geben sie anschließend direkt im Content-Studio aus.

Die beiden Schlüssel dienen unterschiedlichen Zwecken

Die Unterschiede zwischen beiden lassen sich zunächst so auf einen Blick zusammenfassen.

Personal Access TokenDelivery Access Token
Woran ist er gebundendas ausgebende Kontoein bestimmtes Space
Was er kannalles, was dieses Konto kann (Produkte eintragen, bearbeiten, löschen und weitere Verwaltungsaufgaben)nur Lesen von Inhalten im Status Published (veröffentlicht)
Wo er eingesetzt wirdVerwaltungsaufgaben an für Menschen unsichtbaren Stellen wie Servern oder Automatisierungsskriptenwenn eine öffentliche Website Inhalte abruft
Berechtigungsumfanggenau die Rechte des Kontos (nicht einschränkbar)nur so weit wie die gebundene SpaceRole

Der Kern ist dieser: Der Personal Access Token ist eher ein Generalschlüssel, der eine einzelne Person vertritt, während der Delivery Access Token ein enger Schlüssel ist, der "nur das Schwarze Brett vor der Tür einsehen kann". Da sich ihre Einsatzzwecke nicht überschneiden, wählen Sie einfach den passenden für das, was Sie vorhaben.

Der an ein Konto gebundene Schlüssel: Personal Access Token

Der Personal Access Token ist ein Schlüssel, der an das ausgebende Konto selbst gebunden ist. Mit diesem Schlüssel können Sie ohne Anmeldung genau das tun, was dieses Konto im Content-Studio tun kann. Auch Verwaltungsaufgaben wie das Eintragen, Bearbeiten oder Veröffentlichen von Produkten sind damit möglich.

Deshalb ist dieser Schlüssel mächtig. Wenn Sie zum Beispiel ein Programm bauen, das jede Nacht automatisch neue Produkte in das Content-Studio hochlädt, geben Sie diesem Programm diesen Schlüssel, weil es sich nicht wie ein Mensch anmelden kann. Es ist der Schlüssel, den Sie verwenden, wenn Verwaltungsaufgaben automatisch an Stellen ablaufen, die für Menschen nicht unmittelbar sichtbar sind, etwa auf Servern oder in Automatisierungsskripten.

So mächtig er ist, so vorsichtig müssen Sie mit ihm umgehen. Diesen Schlüssel dürfen Sie nicht in die öffentliche Website oder den Browser einsetzen, die Ihre Kundinnen und Kunden sehen. Wenn Sie ihn an einer öffentlichen Stelle hinterlegen, kann ihn jede Person herausziehen, und wer ihn in die Hand bekommt, kann die Rechte des ausgebenden Kontos ungehindert nutzen. Wenn Sie auf einer öffentlichen Website Produkte nur abrufen und anzeigen möchten, verwenden Sie statt dieses mächtigen Schlüssels den unten beschriebenen Delivery Access Token.

Beim Ausgeben eines Personal Access Token legen Sie nur einen Namen fest. Einen Berechtigungsumfang wählen Sie nicht gesondert aus, denn er erbt genau die Rechte, die das ausgebende Konto besitzt.

Der an ein Space gebundene Schlüssel: Delivery Access Token

Der Delivery Access Token ist ein schreibgeschützter Schlüssel, der an ein einzelnes bestimmtes Space gebunden ist. Mit diesem Schlüssel können Sie innerhalb dieses Space ausschließlich Inhalte im Status Published (veröffentlicht) auslesen. Inhalte im Status Draft, die nicht veröffentlicht wurden, lassen sich mit diesem Schlüssel nicht lesen, und bearbeiten oder löschen können Sie damit ebenfalls nichts.

Genau dies ist der Schlüssel, den die Shop-Website Ihrer Kundinnen und Kunden verwendet, um Produkte abzurufen und anzuzeigen. Die Website muss Produkte nur anzeigen, nicht eintragen oder löschen, deshalb reicht ein enger Schlüssel aus, der ausschließlich lesen kann. Selbst wenn dieser Schlüssel nach außen gelangt, lassen sich damit nur veröffentlichte Inhalte lesen, beschädigen lassen sich die Inhalte jedoch nicht.

Was es bedeutet, Inhalte zu veröffentlichen (Published), und warum sie erst nach dem Veröffentlichen nach außen freigegeben (ausgeliefert) werden, behandelt Status und Veröffentlichung.

Begrenzen Sie den Leseumfang, indem Sie eine enge Rolle binden

Wenn Sie einen Delivery Access Token ausgeben, legen Sie über eine SpaceRole (Rolle) fest, wie weit dieser Schlüssel lesen darf, und binden sie zusammen mit dem Schlüssel. Eine Rolle ist ein Bündel von Rechten, das festlegt, "was und mit welchen Aktionen man tun darf". Wenn Sie dem Schlüssel eine Rolle binden, kann dieser Schlüssel nur so weit lesen, wie die gebundene Rolle es erlaubt.

Bei einer Shop-Website müssen nur die "Produkte" gelesen werden. Erstellen Sie deshalb eine enge Rolle, die für die Produkte (Content) nur Read erlaubt, und binden Sie sie. Selbst wenn dieser Schlüssel dann nach außen gelangt, lassen sich nur die Produktinformationen lesen, andere Inhalte oder Mitgliederinformationen gelangen nicht nach außen.

Binden Sie nicht die Rolle Administrator, mit der sich alles handhaben lässt. Administrator ist die Rolle mit den höchsten Rechten, mit der sich alles innerhalb dieses Space handhaben lässt. Wenn Sie einem Schlüssel für eine öffentliche Website, der nur lesen muss, derart weitreichende Rechte binden, steigt das Risiko, falls der Schlüssel nach außen gelangt. Sicherer ist es, eine eigene Rolle zu erstellen und zu binden, die so eingeschränkt ist, dass nur das Nötige gelesen wird.

Wie Sie eine Rolle erstellen und die Rechte einschränken, behandelt Rollen und Berechtigungen. Erstellen Sie anhand dieser Seite vorab die Rolle, die nur das Lesen von Produkten erlaubt und an den Schlüssel für die öffentliche Website gebunden wird.

Mit dem ausgegebenen Geheimwert umgehen

Bei beiden Schlüsseln erscheint nach Abschluss der Ausgabe ein geheimer Token-Wert auf dem Bildschirm. Dieser Wert ist der Schlüssel selbst. Diesen Wert verwenden Sie, wenn Sie ihn in einen Server oder eine Website einsetzen. Kopieren Sie ihn direkt nach der Ausgabe an Ort und Stelle und bewahren Sie ihn auf. Sie können ihn auch auf der Detailseite des Tokens erneut einsehen.

Allerdings werden die beiden Schlüssel an unterschiedlichen Orten hinterlegt.

  • Behandeln Sie den Personal Access Token wie ein Passwort. Da er ein mächtiger Schlüssel ist, bewahren Sie ihn nur innerhalb des Servers auf und setzen Sie ihn nicht in die öffentliche Website oder den Browser, die Ihre Kundinnen und Kunden sehen, oder in Code, den andere einsehen können.
  • Der Delivery Access Token ist umgekehrt dafür gedacht, in die öffentliche Website eingesetzt zu werden, die Ihre Kundinnen und Kunden sehen. Zwar kann jede Person, die die Website öffnet, diesen Wert einsehen, doch weil Sie eine enge Rolle gebunden haben, kann niemand, der diesen Wert erlangt, etwas außerhalb des Leseumfangs tun, den diese Rolle erlaubt. Deshalb ist es an sich kein Problem, ihn in die Website einzusetzen. Verbreiten Sie ihn jedoch nicht leichtfertig über die vorgesehene Website hinaus.

Wenn Sie einen Schlüssel verloren haben oder er anders als beabsichtigt verwendet worden zu sein scheint, löschen Sie diesen Schlüssel, geben einen neuen aus und tauschen ihn aus.

Einen Personal Access Token ausgeben

Geben Sie einen Personal Access Token aus, den Sie dem Programm geben, das jede Nacht automatisch neue Produkte hochlädt.

  1. Öffnen Sie in den Kontoeinstellungen den Bildschirm Personal Access Token.
  2. Drücken Sie oben rechts die Schaltfläche Erstellen.
  3. Geben Sie in das Namensfeld Nächtlicher Upload neuer Produkte ein. Dieser Name dient dazu, später zu erkennen, für welchen Zweck der Schlüssel erstellt wurde.
  4. Drücken Sie die Schaltfläche Speichern, um ihn auszugeben.

Bildschirm im Dialog zur Ausgabe eines Personal Access Token, in dem der Name "Nächtlicher Upload neuer Produkte" eingegeben ist

Nach Abschluss der Ausgabe erscheint der geheime Token-Wert auf dem Bildschirm. Kopieren Sie ihn an Ort und Stelle und bewahren Sie ihn an einem sicheren Ort auf. Der Bildschirm sieht aus wie das Ergebnis der Ausgabe des Delivery Access Token weiter unten.

Einen Delivery Access Token ausgeben

Diesmal geben Sie einen Delivery Access Token aus, den die Shop-Website verwendet, um Produkte abzurufen und anzuzeigen. Dieser Schlüssel wird an das Space des Kleidungsgeschäfts gebunden, zusammen mit einer engen Rolle, die Produkte lesen darf.

Zunächst muss die Rolle, die an diesen Schlüssel gebunden wird, im Space vorhanden sein. Erstellen Sie unter Rollen und Berechtigungen vorab eine Rolle, die für die Produkte (Content) nur Read erlaubt. Im Folgenden gehen wir davon aus, dass Sie diese Rolle unter dem Namen Produkte nur lesen erstellt haben.

  1. Öffnen Sie in den Einstellungen des Space des Kleidungsgeschäfts den Bildschirm Delivery Access Token.
  2. Drücken Sie oben rechts die Schaltfläche Erstellen.
  3. Geben Sie in das Namensfeld Auslieferung an Shop-Website ein.
  4. Im Beschreibungsfeld können Sie eintragen, wofür dieser Schlüssel verwendet wird. (Das ist optional.)
  5. Wählen Sie unter Space Role die Rolle Produkte nur lesen. Wählen Sie nicht Administrator.
  6. Drücken Sie die Schaltfläche Erstellen, um ihn auszugeben.

Bildschirm im Dialog zur Ausgabe eines Delivery Access Token, in dem der Name und die Rolle "Produkte nur lesen" ausgewählt sind

Nach Abschluss der Ausgabe erscheint der geheime Token-Wert auf dem Bildschirm. Kopieren Sie ihn an Ort und Stelle und bewahren Sie ihn an einem sicheren Ort auf.

Bildschirm, der nach der Ausgabe des Delivery Access Token darauf hinweist, den Geheimwert zu kopieren. Der Geheimwert wurde aus Sicherheitsgründen verdeckt

Löschen Sie Schlüssel, die Sie nicht mehr verwenden

Schlüssel, die Sie nicht mehr verwenden, sollten Sie nicht stehen lassen, sondern aus Sicherheitsgründen löschen. Suchen Sie in der Token-Liste den Schlüssel, den Sie nicht mehr verwenden, und löschen Sie ihn. Wenn Sie einen Schlüssel löschen, ist mit ihm kein Zugriff mehr möglich. Dasselbe gilt, wenn ein Schlüssel nach außen gelangt zu sein scheint. Löschen Sie den verdächtigen Schlüssel, geben einen neuen aus und tauschen ihn aus.

Was als Nächstes zu tun ist

  • Rollen und Berechtigungen: Erstellen Sie die Rolle mit eingeschränktem Leseumfang, die an den Delivery Access Token gebunden wird.
  • Status und Veröffentlichung: Mit dem Delivery Access Token lassen sich nur Inhalte im Status Published lesen. Erfahren Sie, was Veröffentlichen bedeutet.
  • API-Referenz: Behandelt technische Spezifikationen wie das Anfrageformat, das Sie benötigen, wenn Sie Token im Programm direkt ausgeben oder Inhalte abrufen.