Power-User API und Webhooks
Diese Roadmap trennt vorhandene Read-only Ressourcen von geplanten Automationen. Alpha OS suggeriert keine Broker-Orders, keine Broker-Write-Rechte und keine vollautomatische Ausfuehrung.
Aktueller Stand
Partner-API-Keys liefern Statistik- und Compliance-Kontext read-only. Keys haben Prefix, Hash, Ablaufdatum, Widerruf und Nutzungsaudit.
/api/v1/export/audit/package exportiert Rohtrades, Scope, Regeln, Reports, Compliance-Snapshots und Tradecheck-Audit-Events ohne Secrets.
Die API darf keine Broker-Order vorbereiten, senden, veraendern oder stornieren. Broker-Zugangsdaten sind von Partner-API-Keys getrennt.
Ressourcen
| Ressource | Status | Zweck | Sicherheitsgrenze |
|---|---|---|---|
/trader/stats | Live | Aggregierte Trading-Stats fuer Zeitraum. | Scope read:stats, kein Einzeltrade-Export. |
/trader/compliance | Live | Compliance-Zusammenfassung und Regelkontext. | Scope read:compliance. |
/export/audit/package | Live fuer Premium | Reproduzierbarer Power-User-Export mit JSON und CSV. | User-Session, Feature-Gate audit_export, keine Secrets. |
| Import starten | Roadmap | CSV/API-Import per Job ausloesen und Status abfragen. | Nur read-only Import, Rate Limit, Idempotency-Key. |
| Report abrufen | Roadmap | Gespeicherten Wochen-/Monatsreport als JSON/PDF abrufen. | Kein alter KI-Text ohne passenden Prompt-/Scope-Hash. |
| Audit-Events | Roadmap | Tradecheck Stops, Overrides und Regelverletzungen paginiert lesen. | Keine Rohprompts, keine Broker-Secrets, begrenzte Retention. |
Beispielantworten
Partner-API mit Scope read:stats. Die Antwort ist aggregiert und enthaelt keine Broker-Secrets.
{
"period": {"from": "2026-05-01", "to": "2026-05-31"},
"trade_count": 42,
"currency": "EUR",
"net_pnl": -184.25,
"data_quality": {
"status": "limited",
"warnings": ["estimated_spread_costs"]
},
"scope": {
"source": "csv",
"broker": "oanda",
"account_id": "masked"
}
}Partner-API mit Scope read:compliance. Regelbefunde sind historische Prozesspruefung, keine Empfehlung.
{
"compliance_rate": 0.76,
"breach_count": 10,
"rules": [
{
"rule_key": "max_daily_loss",
"breach_count": 3,
"breach_net_pnl": -92.10,
"status": "review"
}
],
"policy": {
"places_order": false,
"blocks_order": false
}
}Session-Auth plus Feature-Gate audit_export. Tabellen und JSON sind reproduzierbar, aber nie broker-write-faehig.
{
"package_version": "audit-export-v1",
"files": [
"trades.csv",
"rules.csv",
"reports.json",
"tradecheck_audit.json"
],
"privacy_rule": "no_secrets_no_provider_prompts",
"methodology_url": "/methodik.html"
}Webhook-Konzept
import.completed: Importjob, Counts, Scope und Datenqualitaetsmarker.rule.breach_detected: Regel-Key, Zeitraum, Schweregrad und Link zum Review.report.generated: Reporttyp, Zeitraum, Prompt-Hash und Exportlink.mot.plan_stopped: gestoppter Order-Intent mit Audit-ID und Grund.
Webhook-Payloads sollen mit HMAC-Signatur, Zeitstempel und Event-ID ausgeliefert werden. Empfaenger muessen idempotent verarbeiten; Alpha OS retryt nur begrenzt und zeigt fehlgeschlagene Zustellungen im Konto.
Standard-Payloads enthalten IDs, aggregierte Kennzahlen und Links, aber keine vollstaendigen Einzeltrades. Vollstaendige Rohdaten bleiben bewusst im Audit-Export und erfordern Session-Auth plus Feature-Gate.
Rate Limits und Fehlerformat
Partner-API-Nutzung bleibt kontingentiert: aktuell 60 Requests pro Minute und 1000 Requests pro 24 Stunden pro Key, sofern im Account nichts anderes angezeigt wird. Fehler nutzen das allgemeine Alpha-OS-Format mit error, message, retryable und bei Feature-Gates einem strukturierten gate-Objekt.
{
"error": "rate_limited",
"message": "Partner API limit reached.",
"retryable": true,
"retry_after_seconds": 42
}