OAuth2 Machine-to-Machine
OAuth2 client credentials flow instellen voor machine-to-machine autorisatie
OAuth2 Machine-to-Machine autorisatie
Met OAuth2 client credentials kunt u server-to-server integraties opzetten zonder gebruikersinteractie. Dit is de aanbevolen methode voor geautomatiseerde processen en achtergrondservices.
Overzicht
De OAuth2 M2M-flow werkt als volgt:
- Log in op Tibata en selecteer de juiste organisatie
- Maak een OAuth2-client aan via "Go to API Settings" in het gebruikersmenu
- Vraag een access token op via het token-endpoint
- Gebruik het access token als bearer-token bij API-aanroepen
Stap 1 — Inloggen en organisatie selecteren
Log in op de Tibata-applicatie. Als u toegang heeft tot meerdere organisaties, krijgt u direct een selectiescherm te zien — kies de organisatie waarvoor u de OAuth2-client wilt aanmaken.
Stap 2 — OAuth2-client aanmaken
Klik op "Go to API Settings" in het gebruikersmenu (rechtsboven).

U ziet een overzicht van bestaande OAuth2-clients. Klik op "Nieuwe client".

Vul de volgende gegevens in:
| Veld | Beschrijving |
|---|---|
| Naam | Een herkenbare naam voor de client (bijv. mijn-backend-service) |
| Scopes | De rechten die de client nodig heeft (zie Beschikbare scopes) |

Na aanmaken ontvangt u eenmalig de client_id en client_secret. Sla de client_secret direct op — deze kan later niet opnieuw worden opgehaald.

Stap 3 — Access token ophalen
Stuur een POST-verzoek naar het token-endpoint met uw client-credentials:
Voorbeeld met curl:
Succesvolle respons:
Stap 4 — API aanroepen met het access token
Voeg het access token toe als Authorization-header bij elke aanroep naar de Tibata API:
Voorbeeld met curl:
Beschikbare scopes
| Scope | Beschrijving |
|---|---|
read:spaces | Spaces ophalen |
write:spaces | Spaces aanmaken en bijwerken |
delete:spaces | Spaces verwijderen |
Vraag alleen de scopes aan die uw applicatie daadwerkelijk nodig heeft.
Client secret roteren
Als u een client secret wilt vervangen (bijv. bij een mogelijke compromittering), kunt u het secret roteren via de organisatieinstellingen. Na rotatie is het oude secret onmiddellijk ongeldig. Sla het nieuwe secret direct op.
Aanbevelingen
- Gebruik voor elke integrerende service een aparte OAuth2-client.
- Sla
client_secretenaccess_tokenop als omgevingsvariabelen, nooit hardcoded in broncode. - Access tokens verlopen — implementeer automatische vernieuwing via een nieuw token-verzoek.
- Beperk de scopes tot het minimum dat uw service nodig heeft.
Heeft u vragen? Mail ons: support@tibata.ai