Sicherheit

Das Einbetten der iframe in der Produktion erfordert ein klares Verständnis der beiden ausgegebenen Anmeldedaten und wie die öffentlich erreichbare sicher aufbewahrt wird.

Die zwei Schlüssel

Wenn Sie Anmeldedaten erhalten, bekommen Sie zwei verschiedene Schlüssel:

iframe-Schlüssel (Unternehmensbezeichner): wird in der iframe-URL als ?company=XXX verwendet.
S2S-API-Token: wird für Server-zu-Server-Anfragen verwendet (Abrufen von Diagnoseberichten, Generieren temporärer Schlüssel, etc.).

Der iframe-Schlüssel wird als Klartext in der URL übertragen. Auf einer Webseite kann jeder, der das DOM prüft, ihn lesen. Das Risiko ist auf nativen Mobilanwendungen niedriger, bei denen die URL nicht direkt einsehbar ist, aber das Prinzip bleibt bestehen: Behandeln Sie den iframe-Schlüssel als öffentliche Anmeldedaten und wechseln Sie ihn überall dort durch kurzlebige Alternativen aus, wo möglich.

Der S2S-API-Token darf hingegen niemals Ihren Backend verlassen.

Temporäre Unternehmensbezeichner

Um die unbefugte Verwendung Ihres iframe-Schlüssels zu verhindern, ermöglicht die API die Generierung von kurzlebigen temporären Schlüsseln. Mit dem S2S-API-Token erstellt Ihr Backend für jeden iframe-Load einen neuen Unternehmensbezeichner und gibt ihm eine kurze Gültigkeitsdauer (z.B. 10 Minuten). Selbst wenn der temporäre Schlüssel abgefangen wird, wird er schnell ungültig.

Endpunkt

Methode: POST
Pfad: /company-app-keys
Vollständige URL: Ihre S2S-Unternehmens-API-Basis-URL + /company-app-keys (z.B. https://api.example.com/s2s/v3/company/company-app-keys)

Erforderliche Header

X-API-TOKEN: <your S2S API token>
accept: application/json

Request Body

appKey: der App-Schlüsselwert, den Sie registrieren möchten. Muss mindestens 64 alphanumerische Zeichen haben. Generieren Sie ihn mit einer kryptographisch sicheren Zufallsquelle.
expiresAt: Verfallsdatum/Uhrzeit im ISO-8601-Format (z.B. 2026-12-31T23:59:59+00:00).

{
  "appKey": "my-secure-app-key-that-is-at-least-64-characters-long-1234567890abcdef",
  "expiresAt": "2026-12-31T23:59:59+00:00"
}

Beispiel cURL

curl -X POST "https://api.example.com/s2s/v3/company/company-app-keys" \
  -H "X-API-TOKEN: YOUR_S2S_TOKEN" \
  -H "accept: application/json" \
  -d '{
    "appKey": "my-secure-app-key-that-is-at-least-64-characters-long-1234567890abcdef",
    "expiresAt": "2026-12-31T23:59:59+00:00"
  }'

Erfolgreiche Antwort

HTTP 201 Created:

{
  "success": true,
  "message": "App Key created",
  "data": {
    "appKey": "my-secure-app-key-that-is-at-least-64-characters-long-1234567890abcdef",
    "expiresAt": "2026-12-31T23:59:59+00:00"
  },
  "errorCode": null
}

Verwenden des generierten Schlüssels in der iframe-URL

Der appKey, der in der Antwort zurückgegeben wird, ist der Wert, den Sie in den Abfrageparameter company der iframe einfügen:

<iframe src="https://iframe.legit.health/?company=APP_KEY_FROM_RESPONSE"></iframe>

Kurz gesagt ist der Workflow:

Für die vollständige Liste der Parameter, die company in der URL begleiten können, siehe die Seite "Anpassen".

Nächste Schritte

Passen Sie das Aussehen oder Verhalten der iframe an? Siehe die Seite "Anpassen".
Bereit zum Einbetten auf Ihrer Plattform? Siehe den Abschnitt "Plattformen".
Müssen Sie Callbacks nach der Analyse verarbeiten? Siehe den Abschnitt "Callbacks".

Die zwei Schlüssel​

Temporäre Unternehmensbezeichner​

Endpunkt​

Erforderliche Header​

Request Body​

Beispiel cURL​

Erfolgreiche Antwort​

Verwenden des generierten Schlüssels in der iframe-URL​

Nächste Schritte​