Publishable Keys API-Calls direkt aus Claude, ChatGPT, Gemini & Grok.
Browser-sichere Publishable Keys — gebaut für AI-Artifacts und Frontend-Apps. Scope-limitiert. Origin-gebunden. Budget-gekappt. Kein Backend, kein CORS-Hell, kein SDK.
Vertraut von führenden Unternehmen weltweit
Einziger offizieller DMS
Apps in 30 Sekunden — direkt aus jeder AI-Canvas.
Sie bauen in Claude Artifacts, ChatGPT Canvas, Gemini oder Grok eine PDF-zu-Text-App. Bisher konnte Ihre AI-generierte App nie wirklich eine API aufrufen: CORS blockiert, Ihr Secret Key wäre sichtbar, Rate-Limits zerschießen Ihr Konto. Publishable Keys lösen all das auf einen Schlag.
In Claude, ChatGPT, Gemini oder Grok einfügen
AI CanvasEin Prompt, der jede AI-Canvas in eine echte, API-gestützte SaaS-Demo verwandelt — ohne Backend.
Read this API doc:
https://api.paperoffice.ai/latest/docs/llms-full.txt Build a single-file React app (Claude Artifact / ChatGPT Canvas / Gemini / Grok):
User uploads a PDF, the app calls
/job/add/paperoffice_aiocr___generate directly from the browser
and shows the extracted text. Auth: Bearer po_pk_MY_PUBLISHABLE_KEY (prompt user for the key).
Use priority=900 for sync results. Origin header is set by the browser.Ein Preset-Klick, ein Key, ein Einfügen.
Unser Dashboard liefert einsatzfertige Presets mit. Wählen Sie "aidemo" — Claude, ChatGPT, Gemini und Grok sind whitelisted, ein sicheres Scope-Bundle ist vorausgewählt, Budget gedeckelt auf 2.000 Credits. Fügen Sie den Key in Ihren AI-Prompt ein. Bereitstellen.
Das 5-Punkte-Enterprise-Security-Modell.
Scope-basiert. Origin-gebunden. Rate-limitiert. Budget-gekappt. Sofort revocierbar. Jede Kontrolle wird server-seitig erzwungen — der Key ist sicher, auch wenn er im Source-Code einer AI-Canvas steht.
Scope-limitiert
Keys können nur die Endpoint-Gruppen treffen, die explizit freigegeben wurden: ocr:read, llm:generate, translate:run und mehr. Out-of-Scope-Calls liefern HTTP 403.
Origin-gebunden
Standard-Allow-List: claude.ai, chatgpt.com, gemini.google.com, grok.com. Eigene Origins jederzeit hinzufügbar. Requests ohne passenden Origin-Header liefern HTTP 403.
Rate-limitiert
Redis-gestütztes Sliding-Window pro Token. Preset-Defaults: 30–120 req/min. Überschreitung liefert HTTP 429. Schützt Ihren Credit-Pool vor Scrapern und Loops.
Budget-gekappt
Lifetime-Credit-Cap pro Key. Bei Erreichen: HTTP 402 BUDGET_EXHAUSTED. Keine bösen Überraschungen — selbst wenn ein Key auf Reddit viral geht.
Sofort-Revoke
Im Dashboard auf Revoke klicken. Redis-Cache wird sofort invalidiert. Ein kompromittierter Key ist in Millisekunden tot — keine Propagierungs-Verzögerung.
Hardcoded geblockt
DELETE-Methoden, Admin, Billing, Webhooks und Token-Management sind für jeden po_pk_ hardcoded geblockt — unabhängig vom Scope. Kann nicht freigeschaltet werden.
Drei Key-Typen — klare Verantwortlichkeiten.
Dual-Keys (Server/Browser) — plus ein User-Token für per-User rate-limitierten Zugriff.
| Präfix | Typ | Use-Case | Browser-sicher | Default-Scope |
|---|---|---|---|---|
po_sk_ | Geheimschlüssel | Server-to-Server, voller API-Zugriff | Nein | Alle Endpoints |
po_ut_ | User Token | User-scoped, Tier-limitiert | Nein | Tier-basiert |
po_pk_NEU | Publishable Key | Browser / KI-Leinwand (Claude, ChatGPT, Gemini, Grok) | Ja | Scope-Liste |
Ein Klick. Ein Key. Ein Zweck.
Jedes Preset ist für einen konkreten Use-Case getunt — sichere Defaults, kuratierte Scopes, realistische Budgets. Alles jederzeit im Dashboard anpassbar.
Sichere Standard-Leserechte für einfache Demos: OCR, LLM, Translate, Docs-Read.
ocr:lesenllm:generierentranslate:ausführendocs:lesen Für Claude Artifacts, ChatGPT Canvas, Gemini- und Grok-Demos. Alles, was Sie benötigen, um AI-Demos live zu bringen.
ocr:lesenllm:generierentranslate:ausführenimage:generierentts:ausführenstt:ausführenvision:analysierenSuche:ausführen Für Kontaktformulare, Chat-Widgets und Booking-Buttons auf der eigenen Firmenwebsite.
chat:ausführenBuchung:erstellenFormular: AbsendenKontakt:erstellen Alles Wichtige im Überblick.
Wie unterscheidet sich po_pk_ von po_sk_?
po_sk_ (Secret Key) ist für Server-zu-Server-Integration gedacht — voller Zugriff auf die gesamte API, niemals im Browser einbinden. po_pk_ (Publishable Key) ist für Browser-Code gebaut: scope-limitiert, origin-gebunden, budget-gekappt. Gleiches Pricing, anderes Sicherheitsprofil.
Warum nicht einfach einen Reverse-Proxy aus dem eigenen Backend nutzen?
Das ist der Legacy-Ansatz und bedeutet, dass weiterhin ein Backend benötigt wird. Das Versprechen von AI-Artifacts (Claude, ChatGPT, Gemini, Grok) ist Zero-Backend-Deployment. Publishable Keys machen das möglich, ohne Ihr Konto bloßzustellen — die Sicherheits-Garantien werden serverseitig auf unserer Seite erzwungen.
Funktioniert das wirklich in Claude Artifacts, trotz deren CORS-Sandbox?
Ja. Seit August 2024 unterstützt Anthropic direkte Browser-seitige API-Calls. PaperOffice whitelistet claude.ai automatisch in jedem po_pk_, der via AIDEMO-Preset erstellt wird. ChatGPT Canvas, Gemini Canvas und Grok Workspaces funktionieren genauso.
Was passiert, wenn mein po_pk_ auf Reddit oder GitHub öffentlich wird?
Der Schaden bleibt eingekapselt: Origin-Lock blockiert die Nutzung auf fremden Domains, das Budget-Cap stoppt den Verbrauch, Rate-Limits bremsen Scraper. Im Dashboard auf Revoke klicken — der Redis-Cache wird sofort invalidiert und der Key ist in Millisekunden tot.
Kann ich meine eigene firma.com als erlaubtes Origin hinzufügen?
Ja. Beim Erstellen des Keys können Sie jede Origin zur Allow-List hinzufügen. Das WIDGET-Preset ist genau dafür gebaut — registriere Ihre eigene Domain und bette Chat-, Booking- oder Kontakt-Widgets ohne Backend ein.
Wie setze ich das Credit-Budget pro Key?
Beim Erstellen wählst Sie ein Lifetime-Credit-Limit. Defaults: 1.000 für DEFAULT, 2.000 für AIDEMO, 5.000 für WIDGET. Bei Erreichen liefert die API HTTP 402 BUDGET_EXHAUSTED. Sie können es jederzeit im Dashboard anpassen.
Wird po_pk_ anders abgerechnet als po_sk_?
Nein. Jeder API-Call zieht dieselben Credits von Ihrem Hauptkonto — egal ob via po_sk_, po_ut_ oder po_pk_. Der po_pk_-Budget-Cap ist ein zusätzlicher Schutz obendrauf, kein separates Pricing-Tier.
Welche Endpoints sind für po_pk_ gesperrt?
Alle DELETE-Methoden und jeder Admin-, Billing-, Webhook- und Token-Management-Endpoint ist hardcoded geblockt — unabhängig vom Scope. Sie können mit einem po_pk_ keine Daten löschen, Billing-Infos lesen oder neue Tokens erzeugen. Das wird auf Router-Ebene erzwungen, nicht über Scopes.
Bereit, eine AI-Artifact-App zu shippen?
Key erstellen, llms-full.txt öffnen, Prompt einfügen. Sie haben ein funktionierendes SaaS in Claude, ChatGPT, Gemini oder Grok laufen, bevor der nächste Kaffee fertig ist.