Glossar · Tech & Architecture
Verschlüsselter Speicher für API-Tokens, OAuth-Credentials und Secrets — mit Zugriffslogging, Rotation und Key-Management-Anbindung.
Definition
OAuth-Tokens, API-Keys und Service-Credentials sind die Schlüssel zum Reich. Ein dedizierter Token-Vault (AWS Secrets Manager, HashiCorp Vault, Azure Key Vault, GCP Secret Manager) zentralisiert Storage, ermöglicht Rotation ohne Code-Deploy, protokolliert jeden Zugriff und schützt vor Leak via Repo-Commit.
Architekturprinzip: Secrets liegen nie im Code, nie in Env-Variablen produktiver Container, nie in Datenbank-Klartext. Apps holen Tokens zur Laufzeit über IAM-authentifizierte API-Calls aus dem Vault und cachen sie maximal für TTL-Dauer im Speicher.
Für Multi-Tenant-SaaS, die Drittanbieter-OAuth-Tokens pro Kunde speichern, kommt eine Envelope-Encryption-Schicht hinzu: pro Tenant ein eigener Data-Key, die Data-Keys per KMS-Master-Key verschlüsselt. Compliance-relevant für SOC 2 und ISO 27001.
So nutzen wir das bei adsbird
Bei Multi-Tenant-Integrationen (z. B. WhatsApp-CRM, das pro Kunde eigene Meta-Cloud-API-Tokens hält) nutzen wir Azure Key Vault mit Envelope-Encryption pro Tenant. Token-Zugriff ist auditierbar, Rotation läuft automatisch via OAuth-Refresh-Flow, ein Tenant-Leak betrifft keinen anderen Mandanten.
Verwandte Begriffe
Token Vault in deinem Projekt?
Wenn du Token Vault in einem konkreten Workflow brauchst — wir haben das wahrscheinlich schon gebaut.