Ab dem 25. September 2026 müssen alle Smoobu-API-Anfragen mithilfe von HMAC-SHA256-Signaturen authentifiziert werden. In dieser Anleitung erfährst du, wie du davon betroffen bist, und erhältst eine Schritt-für-Schritt-Anleitung zur Aktualisierung deiner Integrationen.
Was ist HMAC-Authentifizierung?
HMAC (Hash-based Message Authentication Code) ist ein Sicherheitsstandard, der sicherstellt, dass jede API-Anfrage authentisch ist und nicht manipuliert wurde.
Anstatt nur deinen API-Schlüssel zu senden, wird jede Anfrage mit einem geheimen Schlüssel signiert – ähnlich wie Banken Transaktionen verifizieren.
Betrifft mich das?
- Nein: Du bist nicht betroffen, wenn du ausschließlich offizielle Partner-Integrationen nutzt, die über den Smoobu Marktplatz verbunden sind (z. B. PriceLabs, Chekin). Diese Partner kümmern sich auf ihrer Seite automatisch um die Migration.
- Ja:
- Wenn du die Smoobu-API direkt über eigene Skripte oder benutzerdefinierte Integrationen nutzt, bei denen du die Kontrolle über den Code hast, befolge bitte die folgenden Schritte.
- Wenn du deinen Smoobu-API-Schlüssel in ein Drittanbieter-Tool eingefügt hast, über das du keine Kontrolle hast (z. B. ein Tool für die Preisgestaltung oder einen Channel-Manager, der nicht auf dem Smoobu-Marktplatz zu finden ist). Du kannst diese Migration nicht selbst durchführen, da der Anbieter des Tools die neue Signatur auf seiner Seite implementieren muss. Siehe „Verwendest du ein Drittanbieter-Tool?“ weiter unten.
Verwendest du ein Drittanbieter-Tool?
Wenn dein API-Schlüssel von einem Drittanbieter-Tool verwendet wird, über das du keine Kontrolle hast, lösche deinen Schlüssel nicht und versuche nicht, ihn selbst zu migrieren – das würde die Integration unterbrechen.
Wende dich stattdessen an unser Support-Team und teile uns mit, welches Tool du verwendest. Wir werden uns direkt an den Anbieter wenden und die neue Signaturmethode für ihn einrichten. Dein bestehender API-Schlüssel bleibt unverändert, und deine Integrationen funktionieren während des gesamten Migrationszeitraums weiter, während wir uns darum kümmern.
Schritt für Schritt
1) Öffne dein Smoobu-Konto und navigiere zu „Fortgeschrittene Einstellungen“ > „API-Schlüssel“
2) Klicke auf „Neu erstellen“ und gib deinem Schlüssel einen aussagekräftigen Namen (z. B. „Meine Smoobu-Integration“ oder „Skript zur Kanalsynchronisierung“), damit du ihn später leicht wiederfindest. Klicke auf „Absenden“.
3) Nachdem du auf „Absenden“ geklickt hast, wird dein Secret einmalig angezeigt – kopiere es sofort und bewahre es an einem sicheren Ort auf (z. B. in einem Passwort-Manager oder in den Umgebungsvariablen deiner Anwendung).
💡 Tipp: Falls du dein Secret verlierst, kannst du es auf dieser Seite neu generieren. Beachte, dass durch die Neugenerierung das bestehende Secret sofort ungültig wird; aktualisiere daher zuerst deine Integrationen.
4) Aktualisiere deine Integrationen, um Anfragen zu signieren. Die vollständige technische Anleitung mit Code-Beispielen findest du hier: docs.smoobu.com/#hmac-authentication
Jede API-Anfrage erfordert nun folgende Header:
Header |
Header Inhalt |
|---|---|
| X-API-Key | Dein API-Schlüssel (derselbe wie zuvor) |
| X-Timestamp | Aktuelle UTC-Zeit im ISO-8601-Format (Beispiel: 2026-04-01T12:00:00Z) |
| X-Nonce | Ein eindeutiger Wert pro Anfrage (verwende UUID v4 – niemals wiederverwenden) |
| X-Signature | Die HMAC-SHA256-Signatur |
5) Während des Migrationszeitraums (ab sofort bis zum 25. September 2026) akzeptiert Smoobu sowohl signierte als auch unsignierte Anfragen. Du kannst deine aktualisierte Integration bereitstellen und überprüfen, ob sie funktioniert, ohne deine bestehende Konfiguration zu beeinträchtigen.
💡Tipp: Sende ein paar Anfragen mit den neuen Headern und überprüfe, ob du erfolgreiche Antworten erhältst. Wenn du einen 401 Unauthorized-Fehler siehst, überprüfe deinen Zeitstempel (muss innerhalb von 5 Minuten der Serverzeit liegen) und stelle sicher, dass dein Nonce nicht wiederverwendet wurde
6) Lösche deinen alten API-Schlüssel (optional, aber empfohlen). Wenn du einen API-Schlüssel unter „Legacy API-Schlüssel“ hast, kannst du ihn löschen, sobald du deinen neuen Schlüssel eingerichtet hast. Während des Migrationszeitraums funktionieren sowohl alte als auch neue Schlüssel, sodass du dies nach Abschluss der Tests tun kannst.
💡 Tipp: Lösche deinen alten Schlüssel erst, wenn deine neue signierte Integration funktioniert. Beide können während des Migrationszeitraums nebeneinander bestehen.
FAQ
Für wen gelten diese Änderungen?
Dies gilt, wenn du die Smoobu-API direkt nutzt, zum Beispiel mit:
- Deinen eigenen Skripten
- Benutzerdefinierten Integrationen
- Tools von Drittanbietern, bei denen du deinen API-Schlüssel manuell eingegeben hast
Wenn du eine Partnerintegration über den Smoobu-Marktplatz nutzt (wie Pricelabs, Chekin oder ähnliche Integrationen), musst du nichts unternehmen. Dein Integrationspartner kümmert sich um das Upgrade.
Außerdem sind API-Verbindungen zu Buchungsportalen (Airbnb, Booking.com usw.) von dieser Änderung ebenfalls nicht betroffen.
Was bleibt gleich?
- Dein API-Schlüssel bleibt unverändert
- Alle bestehenden Smoobu-API-Endpunkte funktionieren genau wie zuvor
- Es gelten dieselben Datenformate und Antworten
Was ist neu?
- Jede Anfrage enthält einen Zeitstempel, einen eindeutigen Nonce und eine Signatur
- Du generierst ein Geheimnis über dein Smoobu-Dashboard, um diese Signatur zu erstellen
Ich erhalte 401 Unauthorized – was sollte ich überprüfen?
Häufige Ursachen:
- Zeitabweichung – deine Systemzeit weicht um mehr als 5 Minuten ab. Stelle sicher, dass dein Server NTP verwendet.
-
Wiederverwendeter Nonce – jede Anfrage muss einen eindeutigen
X-Nonceenthalten. Verwende UUID v4 oder zufällige Bytes. -
Falscher Body-Hash – für GET/DELETE-Anfragen hashe eine leere Zeichenkette (nicht
nulloderundefined). - Reihenfolge der Abfrageparameter – Parameter müssen beim Erstellen der kanonischen Zeichenkette alphabetisch sortiert sein.
- Kodierungskonflikt – signiere den rohen JSON-Body genau so, wie er gesendet wird (gleiche Leerzeichen und Kodierung).
Mein alter API-Schlüssel funktioniert nicht mehr – was ist passiert?
Wenn du den Stichtag 25. September 2026 überschritten hast und keine HMAC-Signatur hinzugefügt hast, geben unsignierte Anfragen den Fehler 401 zurück.
So behebst du das:
- Geh zu „Fortgeschrittene Einstellungen“ > „API-Schlüssel“
- Erstelle einen neuen Schlüssel und generiere einen geheimen Schlüssel
- Aktualisiere deine Integrationen, um Anfragen zu signieren
Kann ich meinen alten API-Schlüssel weiterhin verwenden?
Ja. Dein API-Schlüssel bleibt unverändert.
Du musst lediglich diese Header zusätzlich zu deinem bestehenden X-API-Keyhinzufügen:
X-TimestampX-NonceX-Signature
Was passiert, wenn ich meinen geheimen Schlüssel verliere?
- Gehe zu: Fortgeschrittene Einstellungen > API-Schlüssel
- Finde deinen Schlüssel und klicke auf „Geheimnis neu generieren“.
- Das alte Geheimnis funktioniert sofort nicht mehr, also aktualisiere deine Integrationen sofort.
Wie sieht der Zeitplan für die Migration aus?
Datum |
Was passiert |
|---|---|
| Jetzt | HMAC-Signierung ist verfügbar. Beginne mit der Migration in deinem eigenen Tempo. |
| 25. September 2026 | Nicht signierte API-Anfragen funktionieren nicht mehr. |
Vollständige technische Anleitung
Die vollständige technische Referenz – einschließlich detaillierter Code-Beispiele in cURL, PHP und Node.js – findest du in der Smoobu-API-Dokumentation:
https://docs.smoobu.com/#hmac-authentication
Auf dieser Seite findest du alles, was du brauchst, um die HMAC-Signatur in deinen Integrationen zu implementieren.
Kommentare
0 Kommentare
Zu diesem Beitrag können keine Kommentare hinterlassen werden.