API & Webhooks Roadmap

35 Endpoints in 8 Kategorien live

Events, Roles, Shifts, Helpers, Assignments, Messages, Availability, Webhooks, Automations.

Plan-/Add-on-Gates serverseitig

ProPass oder api_access_plus für Core API, zusätzlich webhooks_access für Webhooks.

Signierte Webhooks mit Delivery-Log

HMAC-SHA256-Signatur, 8 Retry-Stufen, Delivery-Tracking für 30 Tage.

OpenAPI 3.1 + Reference-Page

developers.crewio.co/reference rendert die Spec menschenlesbar, /openapi.json maschinenlesbar.

Cursor-basierte Pagination

/helpers, /events, /events/{id}/messages unterstützen cursor/next_cursor. Offset bleibt rückwärtskompatibel.

Idempotency-Key Enforcement

24h Replay-Schutz für alle POST/PATCH, Antworten deterministisch wiedergegeben.

PATCH /helpers/{id} und DELETE-Event-Access

Einzel-Update inkl. Tags-Merge sowie Entzug von Event-Zugriff per Endpoint.

Maschinenlesbare Error-Code-Liste

Stabile x-crewio-error-codes-Sektion in der OpenAPI-Spec, gleicher Code in jedem Response.

Signing-Secret-Rotation mit Doppel-Signatur

Zwei aktive Secrets parallel (X-Crewio-Signature + Signature-Previous), nahtlose Rotation.

Manual Replay per Delivery

POST /webhooks/{id}/deliveries/{deliveryId}/retry für Debug- und Recovery-Szenarien.

Delivery-UI mit Diff & Copy-as-cURL

Filter, Payload-Vergleich zwischen Versuchen, Copy-as-cURL aus dem Dashboard.

TypeScript-SDK @crewio/api (alpha)

Auto-generiert aus OpenAPI, getypte Resources, Retry- und Idempotency-Helpers.

Postman-Collection + Insomnia-Workspace

Aus der Spec gebundelt, mit Environment-Vorlagen für Live- und Sandbox-Schlüssel.

Spec-Driven Contract-Tests im CI

Jeder PR wird gegen die OpenAPI-Spec validiert, Drift = rotes Build.

API-Key-Audit & Last-Used

Sichtbar im Dashboard, Audit-Event pro Lifecycle-Schritt (create/rotate/revoke).

Webhook-Test-Endpoint

Synthetische Beispiel-Events können direkt aus Dashboard und API an Empfänger gesendet werden.

Bulk-Endpoints für Assignments & Shifts

Bis 200 Operationen pro Request mit Conflict-Resolution-Strategie.

Events Sync v2 mit dry-run

Optionaler Dry-Run plus Strategien overwrite, keep_existing und merge.

POST /search Cross-Resource-Suche

Volltext + Facetten über Events, Helpers, Shifts. Verein-scoped.

Event-Filter pro Webhook

Filter auf event_id, role_id, Tags – nur relevanter Traffic erreicht den Endpoint.

IP-Allowlist pro Webhook

CIDR-Listen schützen vor versehentlichem Test-Traffic in Produktion.

Webhook-Health-Score

Rollender Success-Indikator und Mail-Alert an den Owner bei n Failures in Folge.

Python-SDK crewio-api (alpha)

Sync und Async-Client, gleicher Resource-Stil wie das TS-SDK.

Self-Service Sandbox-Modus

crw_test_…-Keys, isolierte Test-Datenbank, identischer API-Vertrag, freier Webhook-Replay.

Inline-Examples in der Reference

Auto-generierte cURL/JS/Python-Snippets pro Endpoint, dunkler & heller Modus.

Service-Accounts & IP-Restriction

API-Keys ohne menschlichen Owner, optional auf Allowlist-IPs eingeschränkt.

Rate-Limit-Header & Quota-Endpoint

Standardisierte Rate-Limit-Header plus Endpoint für aktuelle API-, Webhook- und Add-on-Kontingente.

OAuth 2.0 Authorization-Code-Flow

Drittanbieter-Apps erhalten scoped Access-Tokens pro Verein-Owner-Zustimmung.

Audit-Log-API

GET /audit-log mit Filtern auf Aktor, Resource, Zeitraum. Pflicht für Enterprise-Compliance.

API-Usage-Reports

GET /reports/api-usage liefert Calls, Latenzen und Fehlerquoten pro Endpoint.

mTLS-Webhooks (Enterprise)

Outbound nur mit gültigem Trust auf Basis kundeneigener Client-Zertifikate.

Signierte Receipts

Empfänger bestätigen Delivery mit eigenem HMAC – auditfähiger Trail.

Outbound-Templates für Slack/Teams/Discord

Vorgefertigte Empfänger mit Mapping-UI, kein Glue-Code mehr für klassische Notifications.

Go-SDK (alpha)

Schließt die Sprach-Lücke für Backend-Integrationen.

App-Review-Programm

Drittanbieter können Integrationen einreichen, geprüft und ins App-Directory gelistet.

Compliance-Bundle

DPA-Anhang, SOC-2-Auftrag, GDPR-Hinweise zentral auf developers.crewio.co/compliance.

Forced-Rotation-Policy

Erinnerungen für Keys älter als 12 Monate, Enterprise kann erzwungene Rotation aktivieren.

OAuth Consent Screen

Brandbarer Freigabe-Dialog für Drittanbieter-Apps mit Scope-Erklärung, App-Identität und Widerrufshinweisen.

v1.5 Maintenance-Release

Rückwärtskompatibles Sammel-Release mit Quality-of-Life-Fixes.

Reports-API für Auswertungen

Top-Helfer, Verfügbarkeitsraten, Channel-Performance per Endpoint.

Server-Sent-Events für Event-Day

GET /events/{id}/stream liefert Check-ins und Assignment-Wechsel in Echtzeit.

Öffentliches App-Directory

developers.crewio.co/apps mit Kategorien, Filter und Revenue-Share-Programm.

Öffentlicher Changelog-RSS-Feed

Maschinenlesbare Releases pro API-Major-Version unter /changelog.rss.

v2-Vorbereitung & Deprecation-Policy

Breaking-Change-Sammlung (Cursor-only Pagination, einheitliches error-Format) plus Migration-Layer.

Event-Day Snapshot Endpoint

GET /events/{id}/live-snapshot liefert Check-ins, offene Rollen, Incidents und letzte Änderungen als kompakten Zustand.

Automations-API v1

Workflows per API erstellen, aktivieren, pausieren und auslösen – mit Audit-Events pro Änderung.

Partner-App-Scopes

Feingranulare OAuth-Scopes für Apps im Directory, getrennt nach Lesen, Schreiben und Event-Day-Aktionen.

Webhook Schema Registry

Versionierte Payload-Schemas mit Beispiel-Events, Breaking-Change-Markierung und Contract-Checks.

Dead-Letter-Queue

Nicht zustellbare Events bleiben sichtbar, filterbar und können nach Korrektur gesammelt erneut gesendet werden.

TypeScript- & Python-SDK GA

Stabile SemVer-Releases, Changelog pro SDK, generierte Migrationshinweise und Beispiel-Apps.

App-Verifikation für Partner

Review-Prozess für öffentliche Apps inkl. Security-Fragebogen, Test-Webhook und Datenminimierungsprüfung.

Public App Verification Checklist

Öffentliche Checkliste für App-Directory-Einreichungen mit Security-, Datenschutz- und UX-Kriterien.

API v2 Preview

Opt-in Preview mit cursor-only Pagination, konsistentem Fehlerformat und strengerer Ressourcen-Normalisierung.

Migration-Toolkit

Kompatibilitätsreport pro API-Key, Code-Mod-Hinweise und Testmodus für v1-zu-v2-Verhalten.

Webhook-Version-Pinning

Empfänger können Payload-Versionen pinnen und geplante Upgrades kontrolliert pro Endpoint testen.

Deprecation-Feeds & Upgrade-Guides

RSS/JSON-Feeds für Breaking Changes, konkrete Upgrade-Guides und Fristen pro API-Version.

Regionale API-Controls

Enterprise-Kunden können API-Zugriffe nach Region, IP-Bereich und Integrationsklasse einschränken.

Enterprise API Observability

Latenz-, Fehler- und Quota-Metriken pro App mit Export in externe Monitoring-Systeme.

API Migration Report pro Integration

Report zeigt pro API-Key und Integration genutzte v1-Features, v2-Risiken und konkrete Upgrade-Schritte.