FAQ: Umstellung API

FAQ

1) Muss ich bei der Schnittstelle via Zapier Anpassungen vornehmen?

Ja. Stellen Sie in Zapier auf Header-Authentifizierung um und entfernen Sie den API-Key aus der URL.

Variante A: Webhooks by Zapier

• URL: https://service.runmyaccounts.com/api/latest/clients/MANDANT/… (ohne Key)
• Headers: Authorization: Bearer pat_********
• Query Params: keine Auth-Parameter mehr
• Body: nach Bedarf (unverändert zur bisherigen Nutzung)

Variante B: Code by Zapier (Python)

Setzen Sie den Header im Request manuell:

import requests

url = "https://service.runmyaccounts.com/api/latest/clients/MANDANT/invoices"
api_key = input_data.get("api_key")  # z. B. via vorheriger Step/Secret
headers = {"Authorization": f"Bearer {api_key}"}

resp = requests.get(url, headers=headers)
output = {"status": resp.status_code, "body": resp.text}

• Wichtig: Kein API-Key in der URL, nur im Header.

Variante C: Nutzung unserer Zapier-App

Wir haben eine neue Version der App released bitte wechseln Sie auf die neue Version und klicken anschliessend auf «reconnect this Account» um den Wechsel durchzuführen

2) Muss ich einen neuen Key generieren für die Umstellung der Authentifizierung?

Ja. Nutzen Sie einen neuen pat_* API-Key für die Header-Authentifizierung. Bestehende Integrationen laufen bis zum 01.04.2026 parallel, sollten aber rechtzeitig umgestellt werden.

3) Warum steht im Header das Wort Bearer?

Bearer ist das Authentifizierungs-Schema des HTTP-Standards. Der Server erkennt daran, dass ein Token übermittelt wird (Authorization: Bearer <token>). Ohne dieses Präfix wird die Anfrage typischerweise mit 401 Unauthorized abgewiesen.

4) Was passiert, wenn ich den Key weiterhin in der URL übergebe?

Bis 01.04.2026 läuft die URL-Authentifizierung parallel. Ab diesem Datum ist sie dauerhaft deaktiviert. Stellen Sie daher rechtzeitig auf Header-Authentifizierung um, um Unterbrüche zu vermeiden.

5) Ändern sich Endpunkte, Payloads oder Rate Limits durch die Umstellung?

Nein. Es ändert sich ausschließlich die Art der Authentifizierung (von URL-Param auf Header). Endpunkte, Request-/Response-Strukturen und Limits bleiben unverändert.

6) Wie teste ich schnell ob mein Request funktioniert?

Mit curl:

curl -X GET \
  -H "Authorization: Bearer pat_XXXXXXXX" \
  "https://service.runmyaccounts.com/api/latest/clients/MANDANT/invoices"

Erwartet: 200 OK mit Daten. Bei 401: Header/Token prüfen.

Mit Postman:

7) Best Practices zum Umgang mit dem neuen pat_API-Key

• Key nie in URLs, Logs oder Screenshots preisgeben.
• Als Umgebungsvariable speichern; nicht im Code hardcoden.
• Regelmäßig Zugriff prüfen und Keys rotieren (z. B. halbjährlich).

8) Ich erhalte 401 Unauthorized – was soll ich prüfen?

• Header exakt: Authorization (ohne Tippfehler).
• Wert exakt: Bearer⎵pat_… (Leerzeichen zwischen Bearer und Token).
• Kein Key mehr in der URL vorhanden.
• Key gültig/aktiv und dem richtigen Mandanten zugeordnet.

9) Wie stelle ich in Code-Beispielen um?

Python (requests):

headers = {"Authorization": f"Bearer {api_key}"}
response = requests.get(url, headers=headers)

JavaScript (fetch):

const res = await fetch(url, {
  headers: { Authorization: `Bearer ${apiKey}` }
});