CleanContact
← Назад в базу знаний

Аутентификация и ключи API

Каждый запрос должен нести валидный ключ API в заголовке X-API-Key. Ключи создаются и управляются в консоли администратора CleanContact, и принимаются только ключи со статусом «активен».

Создание ключа

  • Откройте консоль администратора и создайте новый ключ для проекта, который будет его использовать.
  • Скопируйте ключ один раз — храните его в менеджере секретов или переменной окружения, никогда в клиентском коде.
  • Отключайте или меняйте ключ, как только заподозрите утечку; изменение вступает в силу за минуты по мере обновления кэшей.

Публичные и серверные ключи

Ключ для формы в браузере должен требовать капчу, чтобы его нельзя было выскрести и использовать для бесплатных проверок. Ключ с капчей ожидает captchaToken вместе с адресом. Ключи «сервер — сервер» остаются чистыми и быстрыми без капчи — держите их строго на бэкенде.

# на сервере: ключ подставляется из окружения и никогда не попадает в браузер
curl -H "X-API-Key: $CLEANCONTACT_KEY" \
  "https://api.cleancontact.ru/validate?email=user@example.com"

Демо на этом сайте работает ровно по этому принципу: браузер вызывает наш собственный маршрут /api/validate, а сервер добавляет ключ перед пересылкой в сервис проверки.