Ga naar hoofdinhoud

Authenticatie

De PostcodeTools API gebruikt Bearer tokens voor authenticatie. Elke API-sleutel heeft configureerbare beveiligingsopties.

// BEARER_TOKENBearer Token Authenticatie
Bearer Token AuthenticatieGebruik uw API-sleutel als Bearer token in de Authorization header

Elke API-aanroep vereist een geldige Bearer token in de Authorization header. Uw API-sleutel fungeert als dit token.

Voorbeeld

curl "https://postcodetools.nl/api/v1/addresses/lookup?postcode=1234AB&number=1" \
  -H "Authorization: Bearer <api-key>"

Tokenformaat

<plaintext> (bijv. 42

Authorization: Bearer 42|aBcDeFgHiJkLmNoPqRsTuVwXyZ0123456789
// IP_WHITELISTIP-whitelisting
IP-whitelistingBeperk API-toegang tot specifieke IP-adressen

Voor extra beveiliging kunt u uw API-sleutel beperken tot specifieke IP-adressen of CIDR-bereiken.

  • Ondersteunt individuele IP-adressen
  • Ondersteunt CIDR-notatie voor IP-bereiken
  • Configureerbaar per API-sleutel

CIDR-voorbeeld

192.168.1.0/24

Dit staat alle IP-adressen van 192.168.1.0 tot 192.168.1.255 toe.

// BROWSER_KEYSBrowsersleutels
BrowsersleutelsGebruik API-sleutels veilig in frontend-applicaties

PostcodeTools ondersteunt twee sleuteltypen: serversleutels voor backend-gebruik en browsersleutels voor frontend-applicaties. Browsersleutels hebben extra beveiligingsbeperkingen om misbruik te voorkomen.

Serversleutel

Volledige toegang vanuit uw backend. Houd deze sleutel geheim — toon hem nooit in client-side code.

Browsersleutel

Beperkte toegang voor frontend-gebruik. Alleen lezen en beperkt tot goedgekeurde domeinen.

Beperkingen browsersleutel

  • Alleen lezen: alleen GET- en HEAD-verzoeken zijn toegestaan
  • Domein-whitelisting: verzoeken worden alleen geaccepteerd van goedgekeurde domeinen
  • CORS-headers worden automatisch toegevoegd voor geldige browsersleutel-verzoeken

Voorbeeld

curl "https://postcodetools.nl/api/v1/addresses/lookup?postcode=1234AB&number=1" \
  -H "Authorization: Bearer <api-key>" \
  -H "Origin: https://yoursite.com"
// RATE_LIMITSSnelheidsbeperking
SnelheidsbeperkingBescherming tegen overmatig gebruik

De API past snelheidsbeperking toe om eerlijk gebruik te garanderen. Limieten zijn configureerbaar per API-sleutel.

Per minuut

60

standaard — instelbaar per API-sleutel

Maandquotum

Onbeperkt

standaard — stel een limiet per sleutel in bij het aanmaken

Response Headers

HeaderBeschrijving
X-RateLimit-LimitMaximaal aantal verzoeken per venster
X-RateLimit-RemainingResterende verzoeken in huidig venster
X-RateLimit-ResetUnix timestamp wanneer het venster reset
X-Quota-LimitMaandelijkse quotalimiet voor deze API-sleutel
X-Quota-RemainingResterende verzoeken in de huidige maand
Retry-AfterSeconden te wachten bij overschrijding (alleen bij 429)