API-Tokens widerrufen
So verwaltets, rotierst und widerrufst du persönliche API-Tokens für die Krokanti Notes REST API und MCP-Integration.
Persönliche API-Tokens ermöglichen den Zugriff auf Krokanti Notes von externen Tools aus – Skripte, Automatisierungen, KI-Assistenten (über MCP) und Integrationen. Wenn ein Token kompromittiert wurde oder nicht mehr benötigt wird, solltest du ihn sofort widerrufen.
Was sind API-Tokens?
API-Tokens sind langlebige Zugangsdaten im Format kn_ gefolgt von 40 Hex-Zeichen (z. B. kn_a3f8b2c1...). Sie sind eine Alternative zu Sitzungs-Cookies für den programmatischen Zugriff auf die Krokanti Notes API.
Tokens werden als SHA-256-Hashes gespeichert – der rohe Token wird nur einmal bei der Erstellung angezeigt und niemals im Klartext gespeichert. Wenn du einen Token verlierst, kannst du ihn nicht wiederherstellen – erstelle einen neuen.
Deine Tokens anzeigen
- Gehe zu Einstellungen → Verbindungen
- Unter Persönliche API-Tokens siehst du eine Liste aller aktiven Tokens mit ihren Namen, Erstellungsdaten und zuletzt verwendeten Zeitstempeln
Einen Token widerrufen
- Gehe zu Einstellungen → Verbindungen
- Finde den Token, den du widerrufen möchtest
- Klicke auf Widerrufen daneben
- Bestätige die Aktion
Der Token wird sofort deaktiviert – jede Anfrage, die ihn verwendet, erhält eine 401 Unauthorized-Antwort.
Das Widerrufen eines Tokens ist sofort und unwiderruflich. Wenn du den Token in einer Automatisierung oder Integration verwendest, funktioniert diese sofort nicht mehr. Aktualisiere die Integration mit einem neuen Token, bevor du den alten widerrufst, wenn Ausfallzeit ein Problem ist.
Wann du widerrufen solltest
Widerrufe einen Token, wenn:
- Du das Tool oder die Integration nicht mehr verwendest, für die er erstellt wurde
- Du vermutest, dass der Token versehentlich offengelegt wurde (z. B. in ein öffentliches Repository übertragen, in einem Log angezeigt)
- Du Zugangsdaten im Rahmen eines Sicherheitsaudits rotierst
- Du ein Gerät verlierst, auf dem der Token gespeichert war
Token-Rotation (Best Practice)
Rotiere deine Tokens aus Sicherheitsgründen regelmäßig:
- Erstelle einen neuen Token unter Einstellungen → Verbindungen
- Aktualisiere deine Integration/dein Tool, um den neuen Token zu verwenden
- Überprüfe, ob die Integration mit dem neuen Token funktioniert
- Widerrufe den alten Token
So gibt es während der Rotation keine Ausfallzeit.
Einen neuen Token erstellen
- Gehe zu Einstellungen → Verbindungen
- Klicke auf Neuer Token
- Gib einen beschreibenden Namen ein (z. B. „Claude Code MCP", „Home-Server-Skript")
- Klicke auf Erstellen – der Token-Wert wird einmal angezeigt. Kopiere ihn sofort.
Benenne deine Tokens beschreibend, damit du weißt, wofür jeder verwendet wird. „Token 1" ist weniger nützlich als „Claude Desktop MCP" oder „Zapier Automatisierung".
Sicherheitseigenschaften
- Tokens werden als SHA-256-Hashes gespeichert – ein Datenbankverstoß legt keine rohen Tokens offen
- Tokens haben ein Rate-Limit von 100 Anfragen pro Minute
- Token-basierte Anfragen können keine anderen Tokens erstellen oder widerrufen (nur über eine Sitzung möglich)
- Alle Token-Operationen werden im Audit-Log aufgezeichnet (Einstellungen → Sicherheit → Audit-Log)
Start taking better notes today
Free forever. No credit card required. Works on any device.
Create your free account →Related articles
Backup-Codes für die Zwei-Faktor-Authentifizierung
Was Backup-Codes sind, wie du sie verwendest und wie du neue generierst, wenn du sie verbraucht hast oder sie kompromittiert wurden.
Wie AES-256-Verschlüsselung in Krokanti Notes funktioniert
Technische Erklärung des clientseitigen Verschlüsselungsmodells für sichere Notizen – PBKDF2-Schlüsselableitung und AES-256-GCM.
Was this article helpful?
Can't find what you're looking for? Contact support