Connection-Token abgelaufen

Connection-Token im Connect-Step ist Single-Use und läuft nach 60 Minuten ab. Manchmal nicht genug — Plugin-Installation dauerte länger, oder du musstest in Pause mid-Setup. Recovery-Flow:

Wie erkennen

Connect-Step zeigt:

Token timed out. Generate a new one to continue.

Im WordPress-Plugin (wenn du expired Token gepastet hast):

Invalid or expired onboarding token

Beide Meldungen mappen zur gleichen Root-Cause: Tokens 60-Min-TTL elapsed bevor WordPress unseren /enroll-Endpoint mit it called.

Fresh Token generieren

Onboarding-Wizard → Connect step → Generate new token Button. Hubbee creates neuen Token, alter wird sofort invalidated (kein Leak-Risk wenn alten irgendwo gepostet).

Außerhalb Onboarding-Wizard:

1. Dashboard → Sites → Add Site
2. Gleicher Dialog, gleicher “Generate Code” Button
3. Paste in WP-Admin → Hubbee → Settings

Neuer Token gültig für 60 Min ab Generierung.

Warum 60 Minuten TTL

Lang genug für Clean Install + Plugin-Upload + Paste, auch mit slow Upload über Hotel-WiFi. Kurz genug dass Token vergessen in Slack-DM nicht ewig als Valid-Connect-Anything-Credential rumliegt.

Token nutzbar einmal. Nach successful Use, auch im 60-Min-Window, nie wieder. Zwei Konsequenzen:

• Token paste in eine WordPress-Site, nicht mehrere
• Wenn versehentlich in falsche Site gepastet, jetzt “spent” — neuen für intended Site generieren

Häufige Szenarien

“Token generiert, Plugin downloaded, in Mittagspause gegangen.” Lunch dauerte 90 Min. Token weg. Regenerieren, (schon downloaded) Plugin installieren, neuen Token einfügen. Total Recovery: unter 2 Min.

“Mein WP-Admin brauchte 30 Min zum Laden.” Möglich slower Host oder Plugin das Heavy-Work auf jedem Admin-Page-Load macht. Token noch 30 Min gut — einfügen bevor Timer abläuft. Wenn WP-Admin consistently slow, Debug-Logs ansehen (Yoast Premium und WooCommerce-Admin-Extensions häufige Verursacher).

“Token in falsche Site gepastet.” Token jetzt spent — falsche Site jetzt mit Hubbee verbunden, intended nicht. Zwei Optionen:

1. Unintended Site verbunden lassen (später aus Dashboard entfernen)
2. Falsche Site disconnecten: Dashboard → Sites → falsche-Site → Settings → Disconnect. Free up Site-Count-Quota aber Token noch spent. Frischen Token für intended Site generieren.

“Bekomme ‘token expired’ sofort nach Generieren.” Server-Clock-Drift oder Browser/Hubbee Timestamp-Mismatch. Hard-Refresh (Cmd-Shift-R), Computer-Clock auf actual Zeit prüfen, dann regenerieren. Wenn persistiert, sign out + sign in — reset alle Session-State.

Was wenn Token-Email verloren?

Connection-Tokens werden NICHT emailed. Erscheinen nur im Dashboard im Connect-Step. Kein Reset-Link, kein “send me Token wieder” — einfach Generate new token klicken. Alter (wo immer) invalidated im Moment des Generierens des Replacement.

Security-Notiz

Tokens werden hashed in DB gespeichert — auch unser Support kann original Token nicht lesen. Wenn du Token Support für Investigation geben müsstest, müsstest du direkt schicken (würden wir nie fragen, würden sofort verwerfen).

60-Min-TTL plus Single-Use-Enforcement bedeutet leaked Token hat max eine Stunde und einen Use Risk. Downside ist kleine Recovery-Friction die dieser Artikel beschreibt.