Каждый запрос должен нести валидный ключ API в заголовке X-API-Key. Ключи создаются и управляются в консоли администратора CleanContact, и принимаются только ключи со статусом «активен».
Создание ключа
- Откройте консоль администратора и создайте новый ключ для проекта, который будет его использовать.
- Скопируйте ключ один раз — храните его в менеджере секретов или переменной окружения, никогда в клиентском коде.
- Отключайте или меняйте ключ, как только заподозрите утечку; изменение вступает в силу за минуты по мере обновления кэшей.
Публичные и серверные ключи
Ключ для формы в браузере должен требовать капчу, чтобы его нельзя было выскрести и использовать для бесплатных проверок. Ключ с капчей ожидает captchaToken вместе с адресом. Ключи «сервер — сервер» остаются чистыми и быстрыми без капчи — держите их строго на бэкенде.
# на сервере: ключ подставляется из окружения и никогда не попадает в браузер
curl -H "X-API-Key: $CLEANCONTACT_KEY" \
"https://api.cleancontact.ru/validate?email=user@example.com"Демо на этом сайте работает ровно по этому принципу: браузер вызывает наш собственный маршрут /api/validate, а сервер добавляет ключ перед пересылкой в сервис проверки.