API Token nur bei Einträgen in der Session zulassen

Wir in #37 beschrieben soll es nicht möglich sein mit einem einfachen cURL Aufruf von außern den API-Proxy an zu sprechen und dabei ein implizites mitsenden des API-Token zu erreichen. Der API-Token darf auf jeden Falll nur mitgesendet werden, wenn eine Session existiert.

Wir setzen also zunächst Variante 3 aus #37 um.