Publishable Keys Chiama le API direttamente da Claude, ChatGPT, Gemini & Grok.
Chiavi publishable sicure per il browser, create per artefatti AI e app frontend. Ambito limitato. Vincolate all'origine. Con budget limitato. Niente backend, niente problemi di CORS, niente SDK.
App in 30 secondi — direttamente da qualsiasi AI Canvas.
Crei un'app PDF-to-text in Claude Artifacts, ChatGPT Canvas, Gemini o Grok. Fino a oggi, la tua app generata dall'AI non poteva mai davvero chiamare un'API: il CORS ti blocca, la tua chiave segreta sarebbe visibile, i limiti di richiesta distruggono il tuo account. Le Publishable Keys risolvono tutto questo in una volta.
Paste this into Claude, ChatGPT, Gemini or Grok
AI CanvasUn prompt che trasforma qualsiasi canvas AI in una vera demo SaaS con API — nessun backend richiesto.
Leggi questa documentazione API:
[internal-endpoint] una app React in un singolo file (Claude Artifact / ChatGPT Canvas / Gemini / Grok):
L'utente carica un PDF, l'app chiama
/job/add/paperoffice_aiocr___generate direttamente dal browser
e mostra il testo estratto.
Auth: Bearer po_pk_MY_PUBLISHABLE_KEY (chiedi la chiave all'utente).
Usa priority=900 per i risultati sincroni. L'intestazione Origin è impostata dal browser.Un click su un preset, una key, un paste.
La nostra dashboard include preset pronti all'uso. Scegli "aidemo" — Claude, ChatGPT, Gemini e Grok sono nella whitelist, è pre-selezionato un bundle di scope sicuro, il budget è limitato a 2.000 crediti. Incolla la chiave nel tuo prompt AI. Pronto.
Il modello di sicurezza enterprise a 5 punti.
Con scope limitato. Bloccato sull'origine. Con limitazione di velocità. Con budget limitato. Revocabile istantaneamente. Ogni controllo viene applicato lato server — la chiave è sicura da incollare in qualsiasi codice sorgente di una canvas AI.
A scope limitato
Le chiavi possono raggiungere solo i gruppi di endpoint che metti esplicitamente nella whitelist: ocr:read, llm:generate, translate:run e altri. Le chiamate fuori scope restituiscono HTTP 403.
Bloccato sull'origine
Allow-list predefinita: PaperOffice LLM, chatgpt.com, PaperOffice LLM, grok.com. Aggiungi i tuoi origin in qualsiasi momento. Le richieste senza un header Origin corrispondente restituiscono HTTP 403.
Con limitazione di velocità
Sliding window per token basata su PaperOffice AI Cache. Valori predefiniti del preset: 30-120 richieste/min. Il superamento restituisce HTTP 429. Protegge il tuo pool di crediti da scraper e loop.
Con budget limitato
Limite di crediti a vita per chiave. Una volta raggiunto: HTTP 402 BUDGET_EXHAUSTED. Nessuna fattura a sorpresa — anche se una chiave diventa virale su Reddit.
Revoca istantanea
Premi Revoca nella dashboard. La cache PaperOffice AI Cache viene invalidata all'istante. Una chiave compromessa è inutilizzabile in millisecondi — nessun ritardo di propagazione.
Blocchi hardcoded
I metodi DELETE, admin, billing, webhooks e token-management sono bloccati hardcoded per ogni po_pk_ — indipendentemente dallo scope. Non possono essere sbloccati.
Tre tipi di key — responsabilità chiare.
Chiavi doppie (server/browser) — più un token utente per l'accesso rate-limited per singolo utente.
| Prefisso | Tipo | Caso d'uso | Sicura per il browser | Scope predefinito |
|---|---|---|---|---|
po_sk_ | Chiave segreta | Server-to-server, full API | No | Tutti gli endpoint |
po_ut_ | User Token | User-scoped, tier-limited | No | Basato sul livello |
po_pk_NEW | Publishable Key | Browser / AI Canvas (Claude, ChatGPT, Gemini, Grok) | Sì | Elenco degli ambiti |
Un click. Una key. Uno scopo.
Ogni preset è ottimizzato per un caso d'uso concreto — impostazioni predefinite sicure, ambiti selezionati, budget realistici. Puoi rifinire tutto in seguito nella dashboard.
Permessi di sola lettura predefiniti e sicuri per semplici demo: OCR, LLM, Traduzione, Docs-Read.
ocr:readllm:generatetranslate:rundocs:read For Claude Artifacts, ChatGPT Canvas, Gemini and Grok demos. Everything you need to ship AI demos live.
ocr:readllm:generatetranslate:runimage:generatetts:runstt:runvision:analyzesearch:run Per moduli di contatto, widget di chat e pulsanti di prenotazione sul sito web della tua azienda.
chat:runbooking:createform:submitcontact:create Tutto quello che devi sapere.
In cosa po_pk_ è diverso da po_sk_?
po_sk_ (Chiave segreta) è per l'integrazione server-to-server — accesso completo all'intera API, non inserirla mai nel browser. po_pk_ (Publishable Key) è progettato per il codice nel browser: ambito limitato, vincolato all'origine, con budget limitato. Stesso prezzo, diverso profilo di sicurezza.
Perché non usare semplicemente un reverse proxy dal mio backend?
Quello è l’approccio legacy e significa che hai ancora bisogno di un backend. La promessa degli artefatti AI (Claude, ChatGPT, Gemini, Grok) è una distribuzione senza backend. Publishable Keys rendono possibile tutto ciò senza esporre il tuo account — le garanzie di sicurezza vengono applicate lato server da parte nostra.
Funziona davvero in Claude Artifacts nonostante il loro sandbox CORS?
Sì. Da agosto 2024, PaperOffice AI supporta chiamate API dirette dal browser. PaperOffice inserisce automaticamente PaperOffice LLM nella whitelist in ogni po_pk_ creato tramite il preset AIDEMO. ChatGPT Canvas, Gemini Canvas e Grok Workspaces funzionano allo stesso modo.
Cosa succede se il mio po_pk_ diventa pubblico su Reddit o GitHub?
Il danno resta contenuto: il blocco dell'origine impedisce l'uso su domini esterni, il limite di budget ferma la spesa, i limiti di velocità rallentano gli scraper. Fai clic su Revoca nella dashboard — la cache PaperOffice AI Cache viene invalidata istantaneamente e la chiave è disattivata in millisecondi.
Posso aggiungere il mio company.com come origine consentita?
Sì. Quando crei la chiave, aggiungi qualsiasi origine alla whitelist. Il preset WIDGET è stato creato proprio per questo — registra il tuo dominio e incorpora widget di chat, prenotazione o contatto senza backend.
Come imposto il budget di credito per chiave?
Quando crei la chiave, scegli un limite di credito valido per tutta la durata. Predefiniti: 1.000 per DEFAULT, 2.000 per AIDEMO, 5.000 per WIDGET. Una volta raggiunto, l'API restituisce HTTP 402 BUDGET_EXHAUSTED. Puoi modificarlo in qualsiasi momento nella dashboard.
po_pk_ viene fatturato diversamente da po_sk_?
No. Ogni chiamata API preleva gli stessi crediti dal tuo account principale — sia tramite po_sk_, po_ut_ o po_pk_. Il limite di budget di po_pk_ è una protezione aggiuntiva, non un livello di prezzo separato.
Quali endpoint non sono consentiti per po_pk_?
Tutti i metodi DELETE e ogni endpoint di amministrazione, fatturazione, webhook e gestione token sono bloccati in modo hardcoded — indipendentemente dall'ambito. Non puoi eliminare dati, leggere informazioni di fatturazione o creare nuovi token con un po_pk_. Questo è applicato a livello di router, non tramite gli scope.
Pronto a lanciare un'app AI Artifact?
Crea una chiave, prendi llms-full.txt, incolla il prompt. Avrai un SaaS funzionante in esecuzione dentro Claude, ChatGPT, Gemini o Grok prima del prossimo caffè.