Publishable Keys Appelez les APIs directement depuis Claude, ChatGPT, Gemini & Grok.
Clés publiables sécurisées pour le navigateur, conçues pour les artefacts IA et les applications frontend. Portée limitée. Verrouillées sur l’origine. Budget plafonné. Pas de backend, pas de cauchemar CORS, pas de SDK.
La confiance des entreprises leaders dans le monde
Des apps en 30 secondes — directement dans n'importe quel canvas IA.
Vous créez une application PDF-vers-texte dans Claude Artifacts, ChatGPT Canvas, Gemini ou Grok. Jusqu'à aujourd'hui, votre application générée par l'IA ne pouvait jamais réellement appeler une API : CORS vous bloque, votre clé secrète serait visible, les limites de débit ruinent votre compte. Les Publishable Keys corrigent tout cela d'un seul coup.
Paste this into Claude, ChatGPT, Gemini or Grok
AI CanvasUn seul prompt qui transforme n’importe quel canevas IA en une vraie démo SaaS alimentée par API — aucun backend requis.
Lisez cette documentation d’API :
[internal-endpoint] une application React dans un seul fichier (Claude Artifact / ChatGPT Canvas / Gemini / Grok) :
L’utilisateur téléverse un PDF, l’application appelle
/job/add/paperoffice_aiocr___generate directement depuis le navigateur
et affiche le texte extrait.
Auth : Bearer po_pk_MY_PUBLISHABLE_KEY (demandez la clé à l’utilisateur).
Utilisez priority=900 pour les résultats synchrones. L’en-tête Origin est défini par le navigateur.Un clic sur un preset, une clé, un collage.
Notre tableau de bord est fourni avec des préréglages prêts à l’emploi. Choisissez « aidemo » — Claude, ChatGPT, Gemini et Grok sont autorisés, un bundle de portée sécurisée est présélectionné, le budget est plafonné à 2 000 crédits. Collez la clé dans votre prompt IA. Déployez.
Le modèle de sécurité d'entreprise en 5 points.
Portée limitée. Verrouillée sur l’origine. Limitée en débit. Budget plafonné. Révocable instantanément. Chaque contrôle est appliqué côté serveur — la clé peut être collée en toute sécurité dans le code source de n’importe quel canevas IA.
Portée limitée
Les clés ne peuvent atteindre que les groupes d’endpoints que vous avez explicitement mis sur liste blanche : ocr:read, llm:generate, translate:run et plus encore. Les appels hors portée renvoient HTTP 403.
Verrouillé sur l’origine
Liste d’autorisation par défaut : PaperOffice LLM, chatgpt.com, PaperOffice LLM, grok.com. Ajoutez vos propres origines à tout moment. Les requêtes sans en-tête Origin correspondant renvoient HTTP 403.
Limité en débit
Fenêtre glissante basée sur PaperOffice AI Cache par jeton. Valeurs par défaut prédéfinies : 30 à 120 requêtes/min. Le dépassement renvoie HTTP 429. Protège votre pool de crédits contre les scrapers et les boucles.
Plafonné en budget
Plafond de crédits à vie par clé. Une fois atteint : HTTP 402 BUDGET_EXHAUSTED. Aucune facture surprise — même si une clé devient virale sur Reddit.
Révocation instantanée
Cliquez sur Révoquer dans le tableau de bord. Le cache PaperOffice AI Cache est invalidé immédiatement. Une clé compromise est neutralisée en quelques millisecondes — aucun délai de propagation.
Blocages codés en dur
Les méthodes DELETE, admin, billing, webhooks et token-management sont bloquées en dur pour chaque po_pk_ — indépendamment de la portée. Impossible de les débloquer.
Trois types de clés — des responsabilités claires.
Clés doubles (serveur/navigateur) — plus un jeton utilisateur pour un accès limité par utilisateur et soumis à des limites de débit.
| Préfixe | Type | Cas d’utilisation | Compatible navigateur | Portée par défaut |
|---|---|---|---|---|
po_sk_ | Clé secrète | Server-to-server, full API | No | Tous les endpoints |
po_ut_ | User Token | User-scoped, tier-limited | No | Basé sur le niveau |
po_pk_NEW | Publishable Key | Navigateur / AI Canvas (Claude, ChatGPT, Gemini, Grok) | Oui | Liste des périmètres |
Un clic. Une clé. Un objectif.
Chaque préréglage est adapté à un cas d’utilisation concret — paramètres par défaut sûrs, périmètres sélectionnés, budgets réalistes. Vous pouvez ensuite tout ajuster finement dans le tableau de bord.
Droits de lecture par défaut sûrs pour des démonstrations simples : OCR, LLM, Traduction, Docs-Read.
ocr:readllm:generatetranslate:rundocs:read For Claude Artifacts, ChatGPT Canvas, Gemini and Grok demos. Everything you need to ship AI demos live.
ocr:readllm:generatetranslate:runimage:generatetts:runstt:runvision:analyzesearch:run Pour les formulaires de contact, les widgets de chat et les boutons de réservation sur le site de votre propre entreprise.
chat:runbooking:createform:submitcontacter:créer Tout ce que vous devez savoir.
En quoi po_pk_ est-elle différente de po_sk_ ?
po_sk_ (Clé Secrète) est destinée à l'intégration de serveur à serveur — accès complet à l'ensemble de l'API, ne la mettez jamais dans le navigateur. po_pk_ (Publishable Key) est conçue pour le code du navigateur : portée limitée, verrouillage par origine, budget plafonné. Même tarification, profil de sécurité différent.
Pourquoi ne pas simplement utiliser un reverse proxy depuis mon propre backend ?
C’est l’approche héritée, et cela signifie que vous avez toujours besoin d’un backend. La promesse des artefacts d’IA (Claude, ChatGPT, Gemini, Grok) est un déploiement sans backend. Publishable Keys rendent cela possible sans exposer votre compte — les garanties de sécurité sont appliquées côté serveur de notre côté.
Est-ce que cela fonctionne vraiment dans Claude Artifacts malgré leur bac à sable CORS ?
Oui. Depuis août 2024, PaperOffice AI prend en charge les appels API directs côté navigateur. PaperOffice met automatiquement PaperOffice LLM sur liste blanche dans chaque po_pk_ créée via le préréglage AIDEMO. ChatGPT Canvas, Gemini Canvas et Grok Workspaces fonctionnent de la même manière.
Que se passe-t-il si ma po_pk_ devient publique sur Reddit ou GitHub ?
Les dommages restent contenus : le verrouillage par origine bloque l'utilisation sur des domaines étrangers, le plafond budgétaire arrête les dépenses, les limites de débit ralentissent les scrapers. Cliquez sur Révoquer dans le tableau de bord — le cache PaperOffice AI Cache est invalidé instantanément et la clé est morte en quelques millisecondes.
Puis-je ajouter mon propre company.com comme origine autorisée ?
Oui. Lors de la création de la clé, ajoutez n'importe quelle origine à la liste d'autorisation. Le préréglage WIDGET est conçu exactement pour cela — enregistrez votre propre domaine et intégrez des widgets de chat, de réservation ou de contact sans aucun backend.
Comment définir le budget de crédits par clé ?
Lors de la création de la clé, vous choisissez une limite de crédit à vie. Par défaut : 1 000 pour DEFAULT, 2 000 pour AIDEMO, 5 000 pour WIDGET. Une fois atteinte, l'API renvoie HTTP 402 BUDGET_EXHAUSTED. Vous pouvez ajuster cela à tout moment dans le tableau de bord.
La po_pk_ est-elle facturée différemment de la po_sk_ ?
Non. Chaque appel API utilise les mêmes crédits de votre compte principal — que ce soit via po_sk_, po_ut_ ou po_pk_. Le plafond budgétaire de la po_pk_ est un filet de sécurité supplémentaire, pas un niveau de tarification distinct.
Quels points de terminaison sont interdits pour la po_pk_ ?
Toutes les méthodes DELETE et chaque point de terminaison d'administration, de facturation, de webhook et de gestion de jetons sont bloqués de manière codée en dur — quelle que soit la portée. Vous ne pouvez pas supprimer de données, lire des informations de facturation ou créer de nouveaux jetons avec une po_pk_. Ceci est appliqué au niveau du routeur, pas via les portées.
Prêt à lancer une app AI Artifact ?
Créez une clé, récupérez llms-full.txt, collez le prompt. Vous aurez un SaaS fonctionnel exécuté dans Claude, ChatGPT, Gemini ou Grok avant votre prochain café.