Entwickler · API-Referenz v1
Die komplette Oberfläche — 20 Endpoints
Auth: Authorization: Bearer mk_test_… · Rate-Limit-Klassen: verify 100/s (Burst 500), management 10/s (Burst 20) — X-RateLimit-Header auf jeder Antwort.
Hot Path
POST /v1/verify
Presentation + Aktion + optionale Policy prüfen; liefert allow/deny/escalate, Primärcode, signierten Beleg, Latenz. Idempotency-Key unterstützt.
Auth: API-Key · Klasse: verify
POST /v1/consumptions
Consumption-Token einlösen — bucht den reservierten Betrag endgültig, liefert Restkontingent, emittiert consumption.recorded.
Auth: API-Key · Klasse: verify
GET /v1/mandates/:id/status
Live-Status (no-store) — die Online-Pflicht der Akzeptanzstelle.
Auth: API-Key · Klasse: verify
Mandats-Verwaltung
POST /v1/mandates/:id/revoke
Kill Switch: sofortiger, endgültiger Widerruf; emittiert mandate.revoked.
Auth: API-Key · Klasse: management
POST /v1/mandates/:id/reactivate
Suspendiertes Mandat reaktivieren (nur aus suspended).
Auth: API-Key · Klasse: management
Eskalationen
GET /v1/escalations
Offene und entschiedene Step-ups.
Auth: API-Key · Klasse: management
POST /v1/escalations/:id/decide
approve/deny — liefert bei approve das einmalige escalation_token.
Auth: API-Key · Klasse: management
Evidence
GET /v1/evidence
Letzte Einträge der Kette inkl. Validierungs-Status.
Auth: API-Key · Klasse: management
GET /v1/verifications
Verifikations-Stream für Workspace und Analytics.
Auth: API-Key · Klasse: management
POST /v1/evidence/export
Audit-Export: export_id + Download-URL (24 h), Integritäts-Wurzel, signierter Beleg, optional qualified.
Auth: API-Key · Klasse: management
GET /v1/evidence/export/:token
Download des Exports (Token-URL).
Auth: keyless
OAuth/RAR-Brücke
POST /v1/oauth/token
grant_type urn:ietf:params:oauth:grant-type:mandate (RFC 9396): mandatsgebundenes Access Token (mat_, 600 s) nach voller Engine-Prüfung.
Auth: API-Key · Klasse: management
POST /v1/oauth/introspect
RFC 7662: active spiegelt den Mandats-Status live — Widerruf entwertet Tokens sofort.
Auth: API-Key · Klasse: management
Keys, Policies, Webhooks
GET/POST /v1/keys
Test-Keys listen (maskiert) / erstellen (Vollanzeige genau einmal).
Auth: API-Key · Klasse: management
DELETE /v1/keys/:id
Key widerrufen — wirkt sofort.
Auth: API-Key · Klasse: management
GET/PUT /v1/policies
Annahme-Policy der Akzeptanzstelle (requireAttestation, maxAmount, minVerificationLevel).
Auth: API-Key · Klasse: management
GET/POST/DELETE /v1/webhooks
Endpoints verwalten — 7 Events, HMAC-Signatur, 4 Retries, DLQ.
Auth: API-Key · Klasse: management
Sandbox (Funnel B — bewusst keyless)
POST /v1/sandbox/mandates
Test-Mandat mit allen Constraints (frequency_limit, geo, time_window, verification_level, valid_days).
Auth: keyless
POST /v1/sandbox/presentations
Signierte Presentation für ein Sandbox-Mandat.
Auth: keyless
POST /v1/sandbox/org-mandates(+/:id/sign)
Vier-Augen-Flow: Org-Mandat erstellen und zeichnen.
Auth: keyless
GET /v1/sandbox/stats
Netzwerk-Zähler (Mandate, Verifikationen).
Auth: keyless