Login ohne Passwort, Risiko, Frust.
Passwortlose Anmeldung per Magic-Link – sicherer und bequemer als jedes Passwort. Plus API-Keys mit feingranularen Scopes für Integrationen. Alle Logins werden geloggt, Sessions sind serverseitig invalidierbar.
Funktionen im Detail
Magic-Link-Login (passwortlos)
Du erhältst per E-Mail einen sicheren Login-Link – kein Passwort, kein Passwort-Manager, keine Phishing-Angriffsfläche.
24h-Token-Gültigkeit
Magic-Links verfallen automatisch nach 24 Stunden und sind nur einmal verwendbar.
Datenbank-basierte Sessions
Sessions liegen serverseitig – ein Logout ist auf allen Geräten sofort wirksam, kompromittierte Tokens sofort invalidierbar.
Account-Status-Check
Bei jedem Login wird geprüft, ob der Account aktiv ist; SUSPENDED- oder DEACTIVATED-Accounts werden vor der Session-Erstellung blockiert.
API-Keys für externe Integrationen
Für Zugriff aus Steuerberater-Software, Zapier, oder eigenen Tools – als Bearer-Token im Authorization-Header.
API-Key-Scopes
Pro Key feingranulare Berechtigungen: `invoices:read`, `customers:write`, `payments:read` etc. – kein Vollzugriff per Default.
API-Key-Verwaltung
Keys anlegen, anzeigen (nur einmal), benennen und revoken. Bei Revoke wird der Key sofort unbrauchbar.
Last-Login-Tracking
Pro Benutzer wird der letzte erfolgreiche Login mit Zeitstempel gespeichert – sichtbar in der Team-Verwaltung.
Custom-Branded Login-E-Mails
Magic-Link-Mails kommen im Claribill-Branding mit deutscher Tonalität – kein generischer NextAuth-Default-Text.
Sofortiger Logout
Logout invalidiert die Server-Session und alle aktiven Tabs werden bei der nächsten Aktion ausgeloggt.
Zwei-Faktor-Authentifizierung (TOTP)
Zusätzliche zweite Stufe per Authenticator-App – für Admin-Accounts besonders empfohlen.
API-Key-Rotation mit Ablaufdatum
Keys mit Verfallsdatum und automatischer Erinnerung kurz vor Ablauf – inklusive Rotations-Workflow.
Audit-Log für API-Key-Nutzung
Pro API-Call werden IP, User-Agent und aufgerufener Endpoint protokolliert – für Forensik und Anomalie-Erkennung.
Rate-Limits für Magic-Link
Anti-Brute-Force: pro IP/E-Mail begrenzte Anzahl Magic-Link-Anfragen pro Stunde.
IP-Whitelist (Enterprise)
Beschränkung des Zugriffs auf erlaubte IP-Bereiche – relevant für stark regulierte Branchen.
Jetzt kostenlos testen
Erstelle deine erste Rechnung in unter 5 Minuten. Keine Kreditkarte nötig.
Kostenlos starten