Publishable Keys API-Calls direkt aus Claude, ChatGPT, Gemini & Grok.
Browser-sichere Publishable Keys — gebaut für AI-Artifacts und Frontend-Apps. Scope-limitiert. Origin-gebunden. Budget-gekappt. Kein Backend, kein CORS-Hell, kein SDK.
Vertraut von führenden Unternehmen weltweit
Apps in 30 Sekunden — direkt aus jeder AI-Canvas.
Du baust in Claude Artifacts, ChatGPT Canvas, Gemini oder Grok eine PDF-zu-Text-App. Bisher konnte deine AI-generierte App nie wirklich eine API aufrufen: CORS blockiert, dein Secret Key wäre sichtbar, Rate-Limits zerschießen dein Konto. Publishable Keys lösen all das auf einen Schlag.
Paste das in Claude, ChatGPT, Gemini oder Grok
AI CanvasEin Prompt, der jede AI-Canvas in eine echte, API-gestützte SaaS-Demo verwandelt — ohne Backend.
Lies diese API-Dokumentation:
[internal-endpoint] eine Single-File React-App (Claude Artifact / ChatGPT Canvas / Gemini / Grok):
Der Benutzer lädt ein PDF hoch, die App ruft
/job/add/paperoffice_aiocr___generate direkt aus dem Browser auf
und zeigt den extrahierten Text an.
Authentifizierung: Bearer po_pk_MY_PUBLISHABLE_KEY (Benutzer nach dem Key fragen).
Verwende priority=900 für synchrone Ergebnisse. Der Origin-Header wird vom Browser gesetzt.Ein Preset-Klick, ein Key, ein Paste.
Unser Dashboard liefert einsatzfertige Presets mit. Wähle "aidemo" — Claude, ChatGPT, Gemini und Grok sind whitelisted, ein sicheres Scope-Bundle ist vorausgewählt, Budget gedeckelt auf 2.000 Credits. Paste den Key in deinen AI-Prompt. Ship.
Das 5-Punkte-Enterprise-Security-Modell.
Scope-basiert. Origin-gebunden. Rate-limitiert. Budget-gekappt. Sofort revocierbar. Jede Kontrolle wird server-seitig erzwungen — der Key ist sicher, auch wenn er im Source-Code einer AI-Canvas steht.
Scope-limitiert
Keys können nur die Endpoint-Gruppen treffen, die du explizit whitelistest: ocr:read, llm:generate, translate:run und mehr. Out-of-Scope-Calls liefern HTTP 403.
Origin-gebunden
Standard-Allow-List: claude.ai, chatgpt.com, gemini.google.com, grok.com. Eigene Origins jederzeit hinzufügbar. Requests ohne passenden Origin-Header liefern HTTP 403.
Rate-limitiert
Redis-gestütztes Sliding-Window pro Token. Preset-Defaults: 30–120 req/min. Überschreitung liefert HTTP 429. Schützt deinen Credit-Pool vor Scrapern und Loops.
Budget-gekappt
Lifetime-Credit-Cap pro Key. Bei Erreichen: HTTP 402 BUDGET_EXHAUSTED. Keine bösen Überraschungen — selbst wenn ein Key auf Reddit viral geht.
Sofort-Revoke
Im Dashboard auf Revoke klicken. Redis-Cache wird sofort invalidiert. Ein kompromittierter Key ist in Millisekunden tot — keine Propagierungs-Verzögerung.
Hardcoded geblockt
DELETE-Methoden, Admin, Billing, Webhooks und Token-Management sind für jeden po_pk_ hardcoded geblockt — unabhängig vom Scope. Kann nicht freigeschaltet werden.
Drei Key-Typen — klare Verantwortlichkeiten.
Dual-Keys (Server/Browser) — plus ein User-Token für per-User rate-limitierten Zugriff.
| Präfix | Typ | Use-Case | Browser-sicher | Default-Scope |
|---|---|---|---|---|
po_sk_ | Geheimschlüssel | Server-to-Server, voller API-Zugriff | Nein | Alle Endpoints |
po_ut_ | User Token | User-scoped, Tier-limitiert | Nein | Tier-basiert |
po_pk_NEU | Publishable Key | Browser / AI Canvas (Claude, ChatGPT, Gemini, Grok) | Ja | Scope-Liste |
Ein Klick. Ein Key. Ein Zweck.
Jedes Preset ist für einen konkreten Use-Case getunt — sichere Defaults, kuratierte Scopes, realistische Budgets. Alles jederzeit im Dashboard anpassbar.
Sichere Standard-Leserechte für einfache Demos: OCR, LLM, Translate, Docs-Read.
ocr:readllm:generatetranslate:rundocs:read Für Claude Artifacts, ChatGPT Canvas, Gemini- und Grok-Demos. Alles, was du brauchst, um AI-Demos live zu bringen.
ocr:readllm:generatetranslate:runimage:generatetts:runstt:runvision:analyzeSuche:ausführen Für Kontaktformulare, Chat-Widgets und Booking-Buttons auf der eigenen Firmenwebsite.
chat:ausführenBuchung:erstellenFormular: AbsendenKontakt:erstellen Alles, was du wissen musst.
Wie unterscheidet sich po_pk_ von po_sk_?
po_sk_ (Secret Key) ist für Server-zu-Server-Integration gedacht — voller Zugriff auf die gesamte API, niemals im Browser einbinden. po_pk_ (Publishable Key) ist für Browser-Code gebaut: scope-limitiert, origin-gebunden, budget-gekappt. Gleiches Pricing, anderes Sicherheitsprofil.
Warum nicht einfach einen Reverse-Proxy aus dem eigenen Backend nutzen?
Das ist der Legacy-Ansatz und bedeutet, dass du weiterhin ein Backend brauchst. Das Versprechen von AI-Artifacts (Claude, ChatGPT, Gemini, Grok) ist Zero-Backend-Deployment. Publishable Keys machen das möglich, ohne dein Konto bloßzustellen — die Sicherheits-Garantien werden serverseitig auf unserer Seite erzwungen.
Funktioniert das wirklich in Claude Artifacts, trotz deren CORS-Sandbox?
Ja. Seit August 2024 unterstützt Anthropic direkte Browser-seitige API-Calls. PaperOffice whitelistet claude.ai automatisch in jedem po_pk_, der via AIDEMO-Preset erstellt wird. ChatGPT Canvas, Gemini Canvas und Grok Workspaces funktionieren genauso.
Was passiert, wenn mein po_pk_ auf Reddit oder GitHub öffentlich wird?
Der Schaden bleibt eingekapselt: Origin-Lock blockiert die Nutzung auf fremden Domains, das Budget-Cap stoppt den Verbrauch, Rate-Limits bremsen Scraper. Im Dashboard auf Revoke klicken — der Redis-Cache wird sofort invalidiert und der Key ist in Millisekunden tot.
Kann ich meine eigene firma.com als erlaubtes Origin hinzufügen?
Ja. Beim Erstellen des Keys kannst du jede Origin zur Allow-List hinzufügen. Das WIDGET-Preset ist genau dafür gebaut — registriere deine eigene Domain und bette Chat-, Booking- oder Kontakt-Widgets ohne Backend ein.
Wie setze ich das Credit-Budget pro Key?
Beim Erstellen wählst du ein Lifetime-Credit-Limit. Defaults: 1.000 für DEFAULT, 2.000 für AIDEMO, 5.000 für WIDGET. Bei Erreichen liefert die API HTTP 402 BUDGET_EXHAUSTED. Du kannst es jederzeit im Dashboard anpassen.
Wird po_pk_ anders abgerechnet als po_sk_?
Nein. Jeder API-Call zieht dieselben Credits von deinem Hauptkonto — egal ob via po_sk_, po_ut_ oder po_pk_. Der po_pk_-Budget-Cap ist ein zusätzlicher Schutz obendrauf, kein separates Pricing-Tier.
Welche Endpoints sind für po_pk_ gesperrt?
Alle DELETE-Methoden und jeder Admin-, Billing-, Webhook- und Token-Management-Endpoint ist hardcoded geblockt — unabhängig vom Scope. Du kannst mit einem po_pk_ keine Daten löschen, Billing-Infos lesen oder neue Tokens erzeugen. Das wird auf Router-Ebene erzwungen, nicht über Scopes.
Bereit, eine AI-Artifact-App zu shippen?
Key erstellen, llms-full.txt holen, Prompt pasten. Du hast ein funktionierendes SaaS in Claude, ChatGPT, Gemini oder Grok laufen, bevor dein nächster Kaffee fertig ist.