API-Token erstellen

Persönlichen API-Token im Asset-Manager erstellen und gegen die REST-API nutzen.

Token erstellen

  1. Im Asset-Manager unter https://app.footage.one/account anmelden.
  2. Sektion API-Key öffnen.
  3. API-Key generieren klicken.
  4. Token kopieren — er wird nur einmal vollständig angezeigt.

Hinweis: Im UI heißt der Bereich „API-Key", in dieser Doku und im HTTP-Header sprechen wir vom „API-Token". Beides bezeichnet denselben Token.

Der Token gilt für deinen User-Account und hat dieselben Rechte wie du selbst — behandle ihn wie ein Passwort.

Token verwenden

API-Tokens werden gegen die REST-API unter https://app.footage.one/api/asset/... genutzt. Übertragung erfolgt über den apiKey-Header (kein Bearer-Prefix):

GET /api/asset/albums HTTP/1.1
Host: app.footage.one
apiKey: <DEIN_API_TOKEN>

curl-Beispiel:

curl -H "apiKey: DEIN_API_TOKEN" \
  https://app.footage.one/api/asset/albums

Hinweis: Der genaue Auth-Mechanismus am REST-Endpoint wird gerade vereinheitlicht (in Arbeit). Aktuell akzeptiert das Backend mehrere Auth-Varianten parallel (apiKey Header, Authorization mit JWT, userId + apiKey). Wir empfehlen den apiKey-Header für Token-Auth — falls dein Use-Case zusätzlich einen userId-Header benötigt, ist das ein Hinweis auf einen Internal-Endpoint.

MCP-Endpoint (separat — JWT only)

Der externe MCP-Server unter https://mcp.footage.one/mcp akzeptiert kein apiKey-Header. Er nutzt ausschließlich JWT-Bearer-Tokens aus dem OAuth2-Flow:

Authorization: Bearer <jwt_aus_oauth_flow>

Bearer-Auth mit dem statischen API-Token am MCP-Endpoint ist in Arbeit, aber noch nicht verfügbar. Für headless Integrationen heute: REST-API direkt nutzen.

Public vs. Token-pflichtig (REST)

Nicht alle REST-Endpoints brauchen Auth. Schnell-Übersicht:

Endpoint-Pattern Auth
/api/asset/ (Root) Public (Discovery)
/api/asset/configuration/archive Public
/api/asset/public/... Public
Alle anderen (/assets, /albums, /search/...) Token erforderlich

Public-Endpoints sind ideal für anonyme Demos oder geteilte Public-Share-Links.

Service-Accounts? (noch nicht)

Aktuell gibt es einen API-Token pro User-Account, kein dediziertes Service-Account-Konzept. Wenn du eine Drittapp betreibst, die Multi-User-Zugriffe abbildet, nutze stattdessen OAuth2 mit PKCE.

Token rotieren / widerrufen

Im Account-Bereich kannst du jederzeit einen neuen Token generieren — der alte verliert dabei seine Gültigkeit.

Weiter

HATEOASOAuth2