Glossar · Tech & Architecture

Token Vault

Verschlüsselter Speicher für API-Tokens, OAuth-Credentials und Secrets, mit Zugriffslogging, Rotation und Key-Management-Anbindung.

Definition

OAuth-Tokens, API-Keys und Service-Credentials sind die Schlüssel zum Reich. Ein dedizierter Token-Vault (AWS Secrets Manager, HashiCorp Vault, Azure Key Vault, GCP Secret Manager) zentralisiert Storage, ermöglicht Rotation ohne Code-Deploy, protokolliert jeden Zugriff und schützt vor Leak via Repo-Commit.

Architekturprinzip: Secrets liegen nie im Code, nie in Env-Variablen produktiver Container, nie in Datenbank-Klartext. Apps holen Tokens zur Laufzeit über IAM-authentifizierte API-Calls aus dem Vault und cachen sie maximal für TTL-Dauer im Speicher.

Für Multi-Tenant-SaaS, die Drittanbieter-OAuth-Tokens pro Kunde speichern, kommt eine Envelope-Encryption-Schicht hinzu: pro Tenant ein eigener Data-Key, die Data-Keys per KMS-Master-Key verschlüsselt. Compliance-relevant für SOC 2 und ISO 27001.

So nutzen wir das bei adsbird

Bei Multi-Tenant-Integrationen (z. B. WhatsApp-CRM, das pro Kunde eigene Meta-Cloud-API-Tokens hält) nutzen wir Azure Key Vault mit Envelope-Encryption pro Tenant. Token-Zugriff ist auditierbar, Rotation läuft automatisch via OAuth-Refresh-Flow, ein Tenant-Leak betrifft keinen anderen Mandanten.

Token Vault in deinem Projekt?

Wir bauen damit,
jeden Tag.

Wenn du Token Vault in einem konkreten Workflow brauchst, wir haben das wahrscheinlich schon gebaut.

Erstgespräch Alle Begriffe