API-Authentifizierung

Keine Anmeldung, keine Schlüssel, kein OAuth

Anders als bei den meisten APIs müssen Sie nicht:

• Ein Konto erstellen
• Einen API-Schlüssel generieren
• Einen Authorization-Header senden
• Anfragen mit HMAC signieren
• OAuth-Token erneuern
• Für einen Tarif bezahlen

Sie senden einfach Ihre HTTP-Anfrage an https://cleverutils.com/api/v1/*, und es funktioniert.

Wie wird dann Missbrauch verhindert?

Wir verfolgen die Nutzung anhand der IP-Adresse. Jede IP erhält ein großzügiges Tageskontingent und eine kurze Abklingzeit pro Anfrage, um Flutungen zu verhindern. Siehe Rate Limits für alle Details.

Wenn eine einzelne IP zu viele Anfragen stellt, wird sie vorübergehend gedrosselt (HTTP 429). Wiederholter Missbrauch führt zu einer 24-stündigen Sperre (HTTP 403).

Wird meine IP gespeichert?

Ja — aber nur als gesalzener SHA-256-Hash, niemals im Klartext. Wir verwenden sie für zwei Zwecke:

• Rate Limiting — der Hash ist der Schlüssel für unsere Zählerdateien pro IP in /tmp/cleverutils-api-ratelimit/. Diese Dateien werden nach 25 Stunden automatisch gelöscht.
• Protokollierung — die ersten 16 Zeichen des Hashes werden in unsere Anfrageprotokolle (in /tmp/cleverutils-api-logs/) geschrieben, zur Fehlersuche und Missbrauchserkennung. Protokolle werden nach 30 Tagen rotiert.

Wir speichern niemals IPs im Klartext. Wir protokollieren niemals Anfragekörper. Wir geben niemals Daten an Dritte weiter.

Sessions und Cookies

Aus historischen Gründen kann die API in Antworten ein PHPSESSID-Cookie setzen. Sie können es ignorieren. Die API hängt weder für die Authentifizierung noch für das Rate Limiting von Sessions oder Cookies ab — sie ist rein IP-basiert.

Die meisten HTTP-Clients (cURL ohne -c, Python requests ohne Session, Go http.DefaultClient) persistieren Cookies ohnehin nicht. Sie können den Header gefahrlos ignorieren.

Was ist mit CORS?

Die API antwortet auf jedem Endpoint mit Access-Control-Allow-Origin: *, sodass Sie sie direkt aus einer browserbasierten JavaScript-App auf jeder Domain aufrufen können. Preflight-Anfragen (OPTIONS) werden automatisch verarbeitet.

Zukunft: optionale API-Schlüssel

Wir führen möglicherweise später optionale API-Schlüssel für Nutzer ein, die höhere Kontingente benötigen oder Analysen pro Schlüssel wünschen. Wenn das passiert:

• Die kostenlose anonyme Stufe bleibt kostenlos und schlüsselfrei.
• Schlüssel werden über den Request-Header X-API-Key gesendet (nicht Authorization: Bearer).
• Diese Seite wird mit vollständigen Anweisungen aktualisiert.

Bis dahin: Stellen Sie einfach HTTP-Anfragen, und Sie sind authentifiziert.