Hvis du har API-modulen aktivert, kan du opprette, redigere og deaktivere API-tilgangstokens på egenhånd i Imageshop. Du får tilgang til panelet for API-styring ved å følge stegene under.


Merk: API-tilgang er en tilleggsmodul i Imageshop og medfører en ekstra kostnad. Dersom din bedrift ønsker denne modulen, kan du kontakte oss på support@imageshop.no.

Slik finner du API-panelet:

  1. Gå til administrasjonspanelet på admin5.imageshop.no. Alternativt, hvis du allerede er logget inn i det vanlige brukergrensesnittet som administrator, finner du en direkte lenke til administrasjonen på høyre side i hovedmenyen.
  2. Hold musepekeren over brukernavnet ditt øverst til høyre for å åpne brukermenyen, og velg «Innstillinger».
  3. Klikk på alternativet «API-tilgang» i menyen.

I dette skjermbildet får du en komplett oversikt over alle utstedte tokens og deres tilknyttede tilgangsrettigheter. Herfra kan du også redigere, deaktivere og opprette nye tokens.



Viktig! Husk å kopiere tokenet med én gang du har opprettet det. Av sikkerhetsmessige årsaker vil det ikke være mulig å hente ut eller se tokenet igjen etter at vinduet lukkes. Dersom du mister et token, må du deaktivere det gamle og opprette et helt nytt.


Det er god praksis å deaktivere et eksisterende token dersom du oppretter et nytt for å erstatte det. Gi alltid tokenene dine meningsfulle navn, slik at du enkelt kan identifisere hvor de er i bruk. Dersom et token skal brukes i en spesifikk integrasjon som WordPress, bør det kalles «WordPress». Hvis det brukes i en egenutviklet applikasjon eller en tilpasset API-integrasjon, bør det navngis etter integrasjonsprosjektet.


For å ivareta en høy sikkerhet anbefales det å rotere tokens med jevne mellomrom, for eksempel ved å opprette et nytt og deaktivere det gamle én gang i året.


Begrens alltid rettighetene til et token så mye som mulig for å øke sikkerheten. Gi kun tilgang til de grensesnittene som er strengt nødvendige, og deaktiver opplastingsfunksjonen for tokenet dersom integrasjonen ikke har behov for å laste opp filer.


Et permanent token bør aldri eksponeres på klientsiden av en applikasjon, som for eksempel i synlig JavaScript eller HTML-kode. I tilfeller der API-kall må utføres fra klientsiden, bør et midlertidig token hentes sikkert via serveren først ved å bruke metoden «GetTemporaryToken». Dette midlertidige tokenet kan deretter benyttes til videre kall fra klientsiden. Aller helst bør verken temporære eller private tokens brukes på klientsiden i det hele tatt.


Hvis du likevel er nødt til å bruke et token direkte på en nettside, må dette tokenet ha svært begrensede rettigheter. I slike tilfeller anbefales det sterkt å deaktivere opplasting, samt å opprette et eget, spesifikt offentlig grensesnitt som tokenet har tilgang til. Bildene i dette grensesnittet må betraktes som helt offentlige. Siden tokenet er eksponert på klientsiden, vil alle med teknisk innsikt kunne fange det opp og bruke API-et til å for eksempel laste ned bildene eller utføre andre tilgjengelige operasjoner.


For å slette et token helt fra systemet, må du først sette statusen til inaktiv. Når tokenet er deaktivert, vil sletteknappen bli tilgjengelig.