Authentifizierung

Die SMSBAT ChatHub API verwendet ein zweistufiges JWT-Token-basiertes Authentifizierungssystem mit Unternehmens-Tokens und Betreiber-Tokens.

Authentifizierungsablauf

graph TD
    A[Login Credentials] --> B[Get Company Token]
    B --> C[Use Company Token]
    C --> D[Get Operator Token]
    D --> E[Use Operator Token]
    E --> F[Validate Token]

Firmentoken

Unternehmenstoken bieten Zugriff auf die ChatHub-API auf Organisationsebene.

Unternehmenstoken erhalten

Endpunkt: POST /api/company/get-token

Anfrage:

curl -X POST https://chatapi.smsbat.com/api/company/get-token \
  -H "Content-Type: application/json" \
  -d '{
    "login": "your-company-login",
    "password": "your-company-password"
  }'

Anfragetext:

{
  "login": "string",
  "password": "string"
}

Antwort:

"eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c"

Die Antwort ist eine JWT-Token-Zeichenfolge.

Firmen-Token verwenden

Fügen Sie das Unternehmenstoken mit einer von zwei Methoden in API-Anfragen ein:

Methode 1: Autorisierungsheader (empfohlen)

curl -X GET https://chatapi.smsbat.com/api/company/organization \
  -H "Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9..."

Methode 2: X-Authorization-Key-Header

curl -X GET https://chatapi.smsbat.com/api/company/organization \
  -H "X-Authorization-Key: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9..."

Operator-Token

Operator-Tokens bieten benutzerspezifischen Zugriff für einzelne Operatoren innerhalb einer Organisation.

Operator-Token abrufen

Endpunkt: POST /api/operator/get-token

Anfrage:

curl -X POST https://chatapi.smsbat.com/api/operator/get-token \
  -H "Authorization: Bearer {company-token}" \
  -H "Content-Type: application/json" \
  -d '{
    "id": 123,
    "expiresAt": "2025-12-31T23:59:59Z"
  }'

Anfragetext:

{
  "id": 0,
  "expiresAt": "2025-01-20T14:33:34.147Z"
}

Parameter:

Parameter	Geben Sie	ein Erforderlich	Beschreibung
id	Ganzzahl	Ja	Betreiber-ID
expiresAt	Zeichenfolge (ISO 8601)	Ja	Ablaufdatum und -uhrzeit des Tokens (maximal 24 Stunden ab jetzt) ​​

Wichtig: Die maximale Token-Lebensdauer beträgt 24 Stunden. Der Parameter „expiresAt“ darf nicht mehr als 24 Stunden in der Zukunft liegen.

Antwort:

"eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJvcGVyYXRvcl9pZCI6MTIzLCJleHAiOjE3Mzc0MTI3OTl9.example_signature"

Operator-Token verwenden

Fügen Sie das Operator-Token in API-Anfragen ein:

curl -X GET https://chatapi.smsbat.com/api/operator \
  -H "Authorization: Bearer {operator-token}"

Token-Validierung

Stellen Sie sicher, dass ein Token noch gültig ist, bevor Sie es verwenden.

Endpunkt: POST /api/operator/validate-token

Anfrage:

curl -X POST https://chatapi.smsbat.com/api/operator/validate-token \
  -H "Authorization: Bearer {company-token}" \
  -H "Content-Type: application/json" \
  -d '{
    "token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9..."
  }'

Anfragetext:

{
  "token": "string"
}

Antwort (gültiges Token):

{
  "isValid": true,
  "operatorId": 123,
  "clientId": 0,
  "expiresAt": "2025-12-31T23:59:59Z",
  "error": null
}

Antwort (Ungültiges Token):

{
  "isValid": false,
  "error": "Invalid token"
}

Token-Ablauf

Firmentoken

– Kein expliziter Ablauf in der API - Wenden Sie sich bezüglich der Token-Lebenszyklusrichtlinien an Ihren Account Manager - Tauschen Sie die Token aus Sicherheitsgründen regelmäßig aus

Operator-Token

• Ablaufdatum beim Anfordern des Tokens festgelegt (Parameter „expiresAt“)
• Validieren Sie Token vor der Verwendung
• Fordern Sie vor Ablauf neue Token an

Implementierungsbeispiele

Python

import requests
from datetime import datetime, timedelta

class ChatHubAuth:
    def __init__(self, base_url):
        self.base_url = base_url
        self.company_token = None
        self.operator_tokens = {}

    def get_company_token(self, login, password):
        """Get company authentication token"""
        response = requests.post(
            f"{self.base_url}/api/company/get-token",
            json={"login": login, "password": password}
        )
        response.raise_for_status()
        self.company_token = response.json()
        return self.company_token

    def get_operator_token(self, operator_id, expires_days=30):
        """Get operator token with expiration"""
        expires_at = (
            datetime.utcnow() + timedelta(days=expires_days)
        ).isoformat() + "Z"

        response = requests.post(
            f"{self.base_url}/api/operator/get-token",
            headers={"Authorization": f"Bearer {self.company_token}"},
            json={"id": operator_id, "expiresAt": expires_at}
        )
        response.raise_for_status()

        token = response.json()
        self.operator_tokens[operator_id] = token
        return token

    def validate_token(self, token):
        """Validate if token is still valid"""
        response = requests.post(
            f"{self.base_url}/api/operator/validate-token",
            headers={"Authorization": f"Bearer {self.company_token}"},
            json={"token": token}
        )
        response.raise_for_status()
        return response.json()

# Usage
auth = ChatHubAuth("https://chatapi.smsbat.com")

# Get company token
company_token = auth.get_company_token("login", "password")

# Get operator token
operator_token = auth.get_operator_token(operator_id=123, expires_days=30)

# Validate token
is_valid = auth.validate_token(operator_token)
print(f"Token valid: {is_valid['valid']}")

JavaScript (Node.js)

const axios = require('axios');

class ChatHubAuth {
  constructor(baseUrl) {
    this.baseUrl = baseUrl;
    this.companyToken = null;
    this.operatorTokens = {};
  }

  async getCompanyToken(login, password) {
    const response = await axios.post(
      `${this.baseUrl}/api/company/get-token`,
      { login, password }
    );

    this.companyToken = response.data;
    return this.companyToken;
  }

  async getOperatorToken(operatorId, expiresDays = 30) {
    const expiresAt = new Date(
      Date.now() + expiresDays * 24 * 60 * 60 * 1000
    ).toISOString();

    const response = await axios.post(
      `${this.baseUrl}/api/operator/get-token`,
      { id: operatorId, expiresAt },
      {
        headers: {
          Authorization: `Bearer ${this.companyToken}`
        }
      }
    );

    const token = response.data;
    this.operatorTokens[operatorId] = token;
    return token;
  }

  async validateToken(token) {
    const response = await axios.post(
      `${this.baseUrl}/api/operator/validate-token`,
      { token },
      {
        headers: {
          Authorization: `Bearer ${this.companyToken}`
        }
      }
    );

    return response.data;
  }
}

// Usage
const auth = new ChatHubAuth('https://chatapi.smsbat.com');

async function authenticate() {
  // Get company token
  const companyToken = await auth.getCompanyToken('login', 'password');

  // Get operator token
  const operatorToken = await auth.getOperatorToken(123, 30);

  // Validate token
  const validation = await auth.validateToken(operatorToken);
  console.log('Token valid:', validation.isValid);
}

authenticate();

PHP

<?php

class ChatHubAuth {
    private $baseUrl;
    private $companyToken;
    private $operatorTokens = [];

    public function __construct($baseUrl) {
        $this->baseUrl = $baseUrl;
    }

    public function getCompanyToken($login, $password) {
        $ch = curl_init($this->baseUrl . '/api/company/get-token');

        curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
        curl_setopt($ch, CURLOPT_POST, true);
        curl_setopt($ch, CURLOPT_HTTPHEADER, [
            'Content-Type: application/json'
        ]);
        curl_setopt($ch, CURLOPT_POSTFIELDS, json_encode([
            'login' => $login,
            'password' => $password
        ]));

        $response = curl_exec($ch);
        curl_close($ch);

        $this->companyToken = json_decode($response);
        return $this->companyToken;
    }

    public function getOperatorToken($operatorId, $expiresDays = 30) {
        $expiresAt = date(
            'Y-m-d\TH:i:s\Z',
            time() + ($expiresDays * 24 * 60 * 60)
        );

        $ch = curl_init($this->baseUrl . '/api/operator/get-token');

        curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
        curl_setopt($ch, CURLOPT_POST, true);
        curl_setopt($ch, CURLOPT_HTTPHEADER, [
            'Content-Type: application/json',
            'Authorization: Bearer ' . $this->companyToken
        ]);
        curl_setopt($ch, CURLOPT_POSTFIELDS, json_encode([
            'id' => $operatorId,
            'expiresAt' => $expiresAt
        ]));

        $response = curl_exec($ch);
        curl_close($ch);

        $token = json_decode($response);
        $this->operatorTokens[$operatorId] = $token;
        return $token;
    }

    public function validateToken($token) {
        $ch = curl_init($this->baseUrl . '/api/operator/validate-token');

        curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
        curl_setopt($ch, CURLOPT_POST, true);
        curl_setopt($ch, CURLOPT_HTTPHEADER, [
            'Content-Type: application/json',
            'Authorization: Bearer ' . $this->companyToken
        ]);
        curl_setopt($ch, CURLOPT_POSTFIELDS, json_encode([
            'token' => $token
        ]));

        $response = curl_exec($ch);
        curl_close($ch);

        return json_decode($response, true);
    }
}

// Usage
$auth = new ChatHubAuth('https://chatapi.smsbat.com');

// Get company token
$companyToken = $auth->getCompanyToken('login', 'password');

// Get operator token
$operatorToken = $auth->getOperatorToken(123, 30);

// Validate token
$validation = $auth->validateToken($operatorToken);
echo "Token valid: " . ($validation['isValid'] ? 'Yes' : 'No');

Best Practices

Token-Speicher

• ✅ Token sicher aufbewahren (verschlüsselte Datenbank, Secrets Manager)
• ✅ Übergeben Sie Token niemals der Versionskontrolle
• ✅ Verwenden Sie Umgebungsvariablen für Anmeldeinformationen
• ❌ Speichern Sie Token nicht im Klartext
• ❌ Machen Sie keine Token im clientseitigen Code verfügbar

Token-Rotation

• Wechseln Sie die Unternehmenstoken regelmäßig (alle 3–6 Monate).
• Legen Sie einen angemessenen Ablauf für Betreiber-Tokens fest (7–30 Tage). – Implementieren Sie eine automatische Token-Aktualisierung vor Ablauf
• Token entziehen, wenn Bediener gehen

Fehlerbehandlung

async function authenticateWithRetry(login, password, retries = 3) {
  for (let i = 0; i < retries; i++) {
    try {
      return await getCompanyToken(login, password);
    } catch (error) {
      if (error.response?.status === 401) {
        throw new Error('Invalid credentials');
      }

      if (i === retries - 1) throw error;

      // Wait before retry
      await new Promise(resolve =>
        setTimeout(resolve, Math.pow(2, i) * 1000)
      );
    }
  }
}

Token-Validierung

Validieren Sie Token immer vor kritischen Vorgängen:

async function performSecureOperation(token, operation) {
  // Validate token first
  const validation = await validateToken(token);

  if (!validation.isValid) {
    throw new Error('Token expired or invalid');
  }

  // Proceed with operation
  return await operation();
}

Sicherheitsüberlegungen

Nur HTTPS

Verwenden Sie beim Senden von Authentifizierungsanfragen immer HTTPS:

// ✅ Correct
const baseUrl = 'https://chatapi.smsbat.com';

// ❌ Wrong - never use HTTP for authentication
const baseUrl = 'http://api.chathub.smsbat.com';

Token-Geltungsbereich

Verwenden Sie für jeden Vorgang das entsprechende Token:

• Unternehmens-Token: Organisationsverwaltung, Betreibererstellung
• Operator-Token: Chat-Vorgänge, Nachrichtenverarbeitung

Ratenbegrenzung

Implementieren Sie eine Ratenbegrenzung für Authentifizierungsanfragen:

class RateLimitedAuth {
  constructor() {
    this.lastRequest = 0;
    this.minInterval = 1000; // 1 second between requests
  }

  async getToken(login, password) {
    const now = Date.now();
    const timeSinceLastRequest = now - this.lastRequest;

    if (timeSinceLastRequest < this.minInterval) {
      await new Promise(resolve =>
        setTimeout(resolve, this.minInterval - timeSinceLastRequest)
      );
    }

    this.lastRequest = Date.now();
    return await makeAuthRequest(login, password);
  }
}

Fehlerbehebung

401 Nicht autorisiert

• Überprüfen Sie, ob die Anmeldeinformationen korrekt sind
• Scheck-Token ist nicht abgelaufen – Stellen Sie sicher, dass das Token in den Anforderungsheadern enthalten ist
• Validieren Sie das Token-Format

403 Verboten

– Überprüfen Sie, ob das Token über die erforderlichen Berechtigungen verfügt - Überprüfen Sie, ob der richtige Token-Typ verwendet wird (Unternehmen oder Betreiber). – Stellen Sie sicher, dass das Token nicht widerrufen wurde

Token abgelaufen

• Fordern Sie ein neues Token an
• Implementieren Sie eine automatische Token-Aktualisierung
• Legen Sie angemessene Ablaufzeiten fest

Nächste Schritte

• Organisationen – Organisationen verwalten
• Operatoren – Arbeiten Sie mit Operatoren
• Widget-Integration – Chat-Widget integrieren