> ## Documentation Index
> Fetch the complete documentation index at: https://docs.clearpolicy.app/llms.txt
> Use this file to discover all available pages before exploring further.

# Authentifizierung bei der ClearPolicy-API

> Erfahre, wie du einen API-Token erstellst und jede Anfrage an die ClearPolicy-REST-API authentifizierst.

Die ClearPolicy-API verwendet Bearer-Tokens zur Authentifizierung. Jede Anfrage muss einen gültigen API-Token im `Authorization`-Header enthalten. Tokens sind an die Organisation gebunden, in der sie erstellt wurden. Der verwendete Token bestimmt daher, welche Organisationsdaten zurückgegeben werden.

## Einen API-Token erstellen

Eigentümer und Administratoren der Organisation können API-Tokens in ClearPolicy erstellen.

<Steps>
  <Step title="API-Einstellungen öffnen">
    Gehe im ClearPolicy-Dashboard zu **Einstellungen -> API**.
  </Step>

  <Step title="Einen Token erstellen">
    Klicke auf **API-Token erstellen**. Gib dem Token einen klaren Namen, zum Beispiel `Berichtsautomatisierung`, damit dein Team weiß, wofür er verwendet wird.
  </Step>

  <Step title="Den Bearer-Token kopieren">
    Kopiere den Token, wenn ClearPolicy ihn anzeigt. Nachdem du den Dialog geschlossen hast, kannst du den vollständigen Token nicht erneut anzeigen.
  </Step>

  <Step title="Sicher speichern">
    Speichere den Token in deinem Passwortmanager, Secret-Manager oder in den Einstellungen deiner Integration. Teile ihn nicht per E-Mail, Chat oder öffentlichem Code.
  </Step>
</Steps>

## Das Token in Anfragen übergeben

Füge das Token in den `Authorization`-Header jeder API-Anfrage ein:

```http theme={null}
Authorization: Bearer YOUR_ACCESS_TOKEN
```

Beispielanfrage mit dem Token:

```bash theme={null}
curl https://api.clearpolicy.app/api/v1/me \
  -H "Authorization: Bearer YOUR_ACCESS_TOKEN"
```

## Fehlerantworten

| Status             | Bedeutung                                                                         |
| ------------------ | --------------------------------------------------------------------------------- |
| `401 Unauthorized` | Das Token fehlt, ist abgelaufen oder ungültig.                                    |
| `403 Forbidden`    | Das Token ist gültig, hat aber keine Berechtigung für die angeforderte Ressource. |

<Note>
  Tokens sind organisationsspezifisch. Alle API-Antworten spiegeln die Organisation wider, in der das Token erstellt wurde.
</Note>

<Note>
  Der API-Zugriff richtet sich außerdem nach der Rolle des Teammitglieds in ClearPolicy. Eigentümer und Administratoren können API-Tokens erstellen und verwalten. Tokens, die an Gruppenleitende gebunden sind, können den Token mit `GET /me` bestätigen, aber Endpunkte für Personen, Dokumente und Bestätigungsanfragen geben `403 Forbidden` zurück.
</Note>

## Einen Token widerrufen

Gehe zu **Einstellungen -> API**, um aktive API-Tokens zu prüfen. Du kannst sehen, wer jeden Token erstellt hat, wann er erstellt wurde, wann er zuletzt verwendet wurde und wann er abläuft. Klicke auf **Widerrufen**, um den Zugriff für einen Token zu entfernen, den du nicht mehr benötigst.
