Zum Hauptinhalt springen Zur Navigation springen Zur Fußzeile springen
Begrenzte Zeit: Design Partner Programm — BUSINESS Plan auf Lebenszeit

Kontosicherheit & API-Schlüssel

Authentifizierung, API-Token-Verwaltung, Sitzungsüberwachung und das Zugriffs- und Berechtigungsmodell für Ihre Organisation.

Authentifizierung

Rediacc unterstützt mehrere Authentifizierungsmethoden:

Auth Flow

  • Passwort: Traditionelle Anmeldung mit E-Mail und Passwort
  • Magic Link: Passwortlose Anmeldung per E-Mail-Link (15 Minuten gültig)
  • Zwei-Faktor-Authentifizierung (2FA): TOTP-basiert mit Backup-Codes

Wenn 2FA aktiviert ist, erfordert die Anmeldung sowohl Ihr Passwort (oder Magic Link) als auch einen 6-stelligen TOTP-Code.

API-Token

API-Token authentifizieren Maschine-zu-Maschine-Operationen (CLI-Lizenzaktivierung, Statusprüfungen).

API Token Lifecycle

Bereiche:

  • license:read — Abonnement- und Lizenzstatus abfragen
  • license:activate — Maschinen aktivieren und Repository-Lizenzen ausstellen
  • subscription:read — Abonnementdetails lesen

Sicherheitsfunktionen:

  • IP-Bindung: Die erste Anfrage bindet den Token an diese IP-Adresse
  • Team-Einschränkung: Token können auf ein bestimmtes Team beschränkt werden
  • Automatischer Widerruf: Token werden widerrufen, wenn der Ersteller aus der Organisation entfernt wird

Token erstellen:

# Über das Portal: API Tokens > Create
# Der Token-Wert wird nur einmal angezeigt -- sicher aufbewahren

Device-Code-Ablauf

Die CLI kann sich auf Headless-Maschinen über den Device-Code-Ablauf authentifizieren:

Device Code Flow

rdc config remote enable --headless
# Zeigt an: Code XXXX-XXXX-XX eingeben unter https://www.rediacc.com/account/authorize
# Nach Genehmigung erhält die CLI automatisch Zugangsdaten
CLI-Referenz: rdc config remote enable

Config Storage

Für verschlüsselte, serversynchronisierte Konfiguration siehe Config Storage für die vollständige Anleitung. Config Storage verwendet:

  • Zero-Knowledge-Verschlüsselung (Server sieht nie Klartext)
  • Passkey-basierte Schlüsselableitung (WebAuthn + PRF)
  • Rotierende Token mit Rotation pro Anfrage

Sitzungssicherheit

Token-TypLebensdauerSpeicherungAktualisierung
Access Token (JWT)15 MinutenHttpOnly-CookieAutomatisch via Refresh Token
Refresh Token7 TageHttpOnly-CookieBei jeder Nutzung rotiert
Erhöhte Sitzung10 MinutenServerseitigAusgelöst durch erneute Authentifizierung

Erhöhte Sitzungen sind erforderlich für sensible Operationen: Passwortänderungen, E-Mail-Änderungen, 2FA-Einrichtung, Eigentumsübertragungen und destruktive Admin-Aktionen.

Berechtigungsmodell

Rediacc verwendet drei unabhängige Berechtigungsebenen:

Permission Flow

Ebene 1: Systemrolle — Bestimmt den Zugriff auf Systemadministrations-Endpunkte.

Ebene 2: Organisationsrolle — Steuert, was ein Benutzer innerhalb seiner Organisation tun kann (Owner, Admin, Member).

Ebene 3: Teamrolle — Beschränkt den Zugriff auf bestimmte Team-Ressourcen (team_admin, member). Organisationseigentümer und Admins umgehen Team-Rollenprüfungen.

Jede API-Anfrage durchläuft alle zutreffenden Ebenen nacheinander. Eine Anfrage an einen teamspezifischen Endpunkt muss Sitzungsauthentifizierung, Organisationsmitgliedschaft und Teamzugriff erfüllen.

Update-Kanäle

Die CLI unterstützt zwei Release-Kanäle:

  • stable (Standard): Nach 7-tägiger Einlaufphase von Edge befördert; wählen Sie diesen Kanal für eine konservative Update-Kadenz
  • edge: Neueste Funktionen, bei jedem Release aktualisiert
rdc update --channel edge      # Zu edge wechseln
rdc update --channel stable    # Zurück zu stable
rdc update --status            # Aktuellen Kanal anzeigen
CLI-Referenz: rdc update