Tarev
Tarev-API

Tarev-API für Integrationen.

Bau deine eigenen Integrationen auf Tarev. REST-API mit OpenAPI-Spec, signierte Webhooks und einbettbare Module. Self-Service-API-Keys, klare Rate-Limits, Multi-Tenant-sicher.

Swagger-Docs öffnenAPI-Key anlegen
Drei Wege rein

Webhooks, REST oder Embeds.

Je nach Use-Case wählst du Push, Pull oder Einbettung. Alle drei sind heute live und produktiv im Einsatz.

Push

Webhooks

Tarev schickt dir Events, sobald sie passieren. HMAC-signiert, Retry mit Exponential-Backoff, Delivery-Log für Debug.

  • HMAC-SHA256-Signatur im Header X-Tarev-Signature
  • Auto-Retry bis 8 Versuche, danach verworfen
  • Per Event-Key filtern oder * als Wildcard
  • Test-Button + Delivery-Log im Admin-UI
Webhooks einrichten
Pull

REST-API

Lies und schreibe Daten über eine versionierte REST-API. OpenAPI 3-Spec live in Swagger, Auth via API-Key oder JWT, Multi-Tenant-sicher.

  • JSON-only, REST-Konvention, OpenAPI 3-Spec
  • Auth: Bearer-Token (JWT oder Personal-API-Key)
  • Scoped-Permissions pro Key (read:invoices, write:customers, etc.)
  • Multi-Tenant: jeder Request bleibt im eigenen Mandanten
Swagger-Docs öffnen
Embed

Embeds

Bind Tarev-Module per Iframe in dein eigenes Portal ein. Single-Sign-On via Magic-Link, Theme erbt automatisch deine Brand-Farben.

  • Module einzeln embeddable (Markt, Status, Portal)
  • SSO via signiertem Magic-Link, kein extra Login
  • Theme-Inheritance per postMessage-Channel
  • Responsive, Mobile-Safe, DSGVO-konform (kein Tracking)
Portal konfigurieren
In 30 Sekunden online

Erster Request in deiner Sprache.

Beispiel: liste die Rechnungen deines Mandanten. Tausche tk_DEMO_DO_NOT_USE gegen deinen echten Personal-API-Key aus.

curl -X GET 'https://tarev.de/api/customer-invoices' \
  -H 'Authorization: Bearer tk_DEMO_DO_NOT_USE' \
  -H 'Accept: application/json'
Authentifizierung

API-Keys, JWT, Tenant-Scope.

Zwei Auth-Mechanismen, beide gleich sicher. Personal-API-Keys für Server-zu-Server. JWT-Bearer für interaktive Sessions.

Personal-API-Keys

Self-Service unter /mein-konto. Format tk_<32-base64url>. Plaintext wird genau einmal beim Anlegen angezeigt. Revoke jederzeit, gehasht in der Datenbank (SHA-256).

JWT-Bearer

Für interaktive Sessions: Access-Token (15 min) + Refresh-Token (7 Tage mit Rotation). Server-seitiges Logout, 2FA via TOTP, Recovery-Codes als Backup.

Tenant-Scope

Jeder Request läuft automatisch im Mandanten des Tokens. Cross-Tenant-Reads sind technisch unmöglich, kein X-Tenant-Header nötig. Multi-Tenant-Login für User in mehreren Firmen.

Rate-Limits

Faire Limits pro Tarif.

Limits sind pro Tarif gestaffelt, gemessen pro Mandant. Burst erlaubt kurze Spitzen. Bei Überschreitung antwortet die API mit 429 inklusive Retry-After-Header.

TarifSustainedBurstNotiz
Free60 Requests / Minute120 BurstLesend, ohne Webhook-Subscriptions
Solo300 Requests / Minute600 BurstBis 5 Webhook-Subscriptions
Team1.500 Requests / Minute3.000 BurstBis 25 Webhook-Subscriptions, Priority-Support
Brauchst du mehr? Im Enterprise-Tarif sind die Limits individuell verhandelbar. Tarife vergleichen.

Bereit, loszulegen?

Lies die OpenAPI-Spec, leg dir einen API-Key an und schick deinen ersten Request. Bei Fragen erreichst du uns unter support@tarev.de.

Swagger-Docs öffnenAPI-Key anlegen