KernelHost Reseller-API

Vad Reseller-API gör

KernelHost Reseller-API speglar exakt de beställnings- och hanteringsåtgärder som du annars utför i kundportalen. Du automatiserar därmed din återförsäljarverksamhet, integrerar KernelHost-produkter i din egen frontend eller fakturering och behåller full kontroll över behörigheter, hastighetsbegränsningar och IP-vitlista per nyckel.

Varje anrop signeras med HMAC-SHA256, skyddas mot uppspelning, bearbetas idempotent (obligatoriskt vid beställningar), dokumenteras i en manipuleringssäker granskningslogg och bekräftas valfritt via webhook. Betalningar dras automatiskt först från ditt saldo och därefter från ditt sparade kort. Av säkerhetsskäl kan nya kort endast läggas till i kundportalen (3-D Secure 2).

https://www.kernelhost.com/cp/kh_reseller_api/v1

Innehållsförteckning

• Snabbstart på 5 minuter
• Autentisering (HMAC-SHA256)
• Endpoint-referens
• Felkoder (RFC 7807)
• SDK:er: PHP, Node.js, Python, Go
• Säkerhet och best practices
• Ändringslogg

Vad du kan göra med API:et

• Hämta produkter och priser (KVM-rotservrar, dedikerade, webbhotell, Minecraft, VPN, obegränsad trafik).
• Lägga beställningar (Idempotency-Key skyddar mot dubbla debiteringar vid nätverksåterförsök).
• Lista egna tjänster, kontrollera status, köra åtgärder (start, stopp, omstart, ominstallation, suspendera, terminera).
• Läsa inloggningsuppgifter uteslutande för dina egna tjänster (separat behörighet, granskad, valfri bekräftelse via e-post vid varje åtkomst).
• Hämta fakturor, kontrollera saldo, ladda ner faktura-PDF:er.
• Registrera en Webhook-URL per nyckel för order-, tjänste- och fakturahändelser (Stripe-kompatibelt signaturschema).

Säkerhet på högsta nivå

API:et är utformat med antagandet att varje enskilt anrop har direkt ekonomisk påverkan och kan ge åtkomst till känsliga serveruppgifter. Säkerhetskraven ligger därför klart över vanlig REST-standard.

• HMAC-SHA256-signatur över metod, sökväg, tidsstämpel, nonce och body-hash. Jämförelse i konstant tid.
• Uppspelningsskydd: tidsstämpelfönster +-300s, engångs-nonce cache i 600s.
• Hemligheter lagras serverside uteslutande som AES-256-GCM-chiffertext. Klartext finns endast tillfälligt i minnet för signaturverifiering. Huvudnyckeln ligger utanför databasen.
• Granulära behörigheter per nyckel: farliga behörigheter (read:credentials, write:orders) måste aktiveras uttryckligen, standard är endast läsning.
• Dataisolering på databasnivå: varje fråga filtrerar strikt på ditt konto-ID, åtkomst mellan tenanter är inte möjlig.

Exempel: hämta din egen kontoinformation

Anropet signerar hela förfrågan med din hemlighet. Hemligheten lämnar aldrig klientens minne, endast signaturen överförs.

TS=$(date +%s)
NONCE=$(openssl rand -hex 16)
BODY_SHA256=$(printf '' | openssl dgst -sha256 -hex | awk '{print $2}')
SIG_INPUT=$(printf 'GET\n/v1/me\n%s\n%s\n%s' "$TS" "$NONCE" "$BODY_SHA256")
SIG=$(printf '%s' "$SIG_INPUT" | openssl dgst -sha256 -hmac "$KH_SECRET" -hex | awk '{print $2}')

curl https://www.kernelhost.com/cp/kh_reseller_api/v1/me \
  -H "KH-Key: $KH_KEY" \
  -H "KH-Timestamp: $TS" \
  -H "KH-Nonce: $NONCE" \
  -H "KH-Signature: $SIG"

Vanliga frågor

Vem får använda Reseller-API?

Varje befintlig KernelHost-kund kan under "Mitt konto → Reseller-API" skapa en nyckel med egen etikett, behörigheter och IP-vitlista. Inget separat återförsäljaravtal krävs: alla offentligt listade produkter kan beställas via API:et.

Hur betalas en beställning?

Ordning: först ditt saldo (kreditbalans), därefter din sparade betalningsmetod (kreditkort med 3-D Secure 2). Om betalningen avvisas eller om inget kort finns sparat returnerar API:et HTTP 402 "Payment Required" med en entydig orsak (insufficient_credit_and_no_card, card_declined, card_expired). Beställningen ligger 24 timmar i status "pending payment" och avbryts sedan automatiskt.

Kan jag läsa tjänsters lösenord via API:et?

Ja, uteslutande för dina egna tjänster och uteslutande med den uttryckliga behörigheten read:credentials, som måste aktiveras separat vid skapandet av nyckeln. Varje åtkomst genererar en granskningslogg-post credentials.read. På begäran får du dessutom ett bekräftelsemejl till din kontoadress, så att dold missbruk är utesluten.

Vad händer om min hemlighet komprometteras?

Du roterar hemligheten när som helst med ett klick i kundportalen. Den gamla hemligheten blir omedelbart ogiltig och alla pågående sessioner ogiltigförklaras. Vid misstänkta autentiseringsmisslyckanden (5 inom 10 minuter) låser systemet automatiskt nyckeln i 15 minuter och informerar dig per e-post.