MANDACT

Entwickler · API-Referenz v1

Die komplette Oberfläche — 20 Endpoints

Auth: Authorization: Bearer mk_test_… · Rate-Limit-Klassen: verify 100/s (Burst 500), management 10/s (Burst 20) — X-RateLimit-Header auf jeder Antwort.

Hot Path

POST /v1/verify

Presentation + Aktion + optionale Policy prüfen; liefert allow/deny/escalate, Primärcode, signierten Beleg, Latenz. Idempotency-Key unterstützt.

Auth: API-Key · Klasse: verify

POST /v1/consumptions

Consumption-Token einlösen — bucht den reservierten Betrag endgültig, liefert Restkontingent, emittiert consumption.recorded.

Auth: API-Key · Klasse: verify

GET /v1/mandates/:id/status

Live-Status (no-store) — die Online-Pflicht der Akzeptanzstelle.

Auth: API-Key · Klasse: verify

Mandats-Verwaltung

POST /v1/mandates/:id/revoke

Kill Switch: sofortiger, endgültiger Widerruf; emittiert mandate.revoked.

Auth: API-Key · Klasse: management

POST /v1/mandates/:id/reactivate

Suspendiertes Mandat reaktivieren (nur aus suspended).

Auth: API-Key · Klasse: management

Eskalationen

GET /v1/escalations

Offene und entschiedene Step-ups.

Auth: API-Key · Klasse: management

POST /v1/escalations/:id/decide

approve/deny — liefert bei approve das einmalige escalation_token.

Auth: API-Key · Klasse: management

Evidence

GET /v1/evidence

Letzte Einträge der Kette inkl. Validierungs-Status.

Auth: API-Key · Klasse: management

GET /v1/verifications

Verifikations-Stream für Workspace und Analytics.

Auth: API-Key · Klasse: management

POST /v1/evidence/export

Audit-Export: export_id + Download-URL (24 h), Integritäts-Wurzel, signierter Beleg, optional qualified.

Auth: API-Key · Klasse: management

GET /v1/evidence/export/:token

Download des Exports (Token-URL).

Auth: keyless

OAuth/RAR-Brücke

POST /v1/oauth/token

grant_type urn:ietf:params:oauth:grant-type:mandate (RFC 9396): mandatsgebundenes Access Token (mat_, 600 s) nach voller Engine-Prüfung.

Auth: API-Key · Klasse: management

POST /v1/oauth/introspect

RFC 7662: active spiegelt den Mandats-Status live — Widerruf entwertet Tokens sofort.

Auth: API-Key · Klasse: management

Keys, Policies, Webhooks

GET/POST /v1/keys

Test-Keys listen (maskiert) / erstellen (Vollanzeige genau einmal).

Auth: API-Key · Klasse: management

DELETE /v1/keys/:id

Key widerrufen — wirkt sofort.

Auth: API-Key · Klasse: management

GET/PUT /v1/policies

Annahme-Policy der Akzeptanzstelle (requireAttestation, maxAmount, minVerificationLevel).

Auth: API-Key · Klasse: management

GET/POST/DELETE /v1/webhooks

Endpoints verwalten — 7 Events, HMAC-Signatur, 4 Retries, DLQ.

Auth: API-Key · Klasse: management

Sandbox (Funnel B — bewusst keyless)

POST /v1/sandbox/mandates

Test-Mandat mit allen Constraints (frequency_limit, geo, time_window, verification_level, valid_days).

Auth: keyless

POST /v1/sandbox/presentations

Signierte Presentation für ein Sandbox-Mandat.

Auth: keyless

POST /v1/sandbox/org-mandates(+/:id/sign)

Vier-Augen-Flow: Org-Mandat erstellen und zeichnen.

Auth: keyless

GET /v1/sandbox/stats

Netzwerk-Zähler (Mandate, Verifikationen).

Auth: keyless