Pas d'inscription, pas de clés, pas d'OAuth
Contrairement à la plupart des API, vous n'avez pas besoin de :
- Créer un compte
- Générer une clé API
- Envoyer un en-tête
Authorization - Signer les requêtes avec HMAC
- Rafraîchir des jetons OAuth
- Payer un abonnement
Vous envoyez simplement votre requête HTTP à https://cleverutils.com/api/v1/* et ça fonctionne.
Comment les abus sont-ils alors évités ?
Nous suivons l'utilisation par adresse IP. Chaque IP bénéficie d'un quota quotidien généreux et d'un court délai entre les requêtes pour empêcher les inondations. Consultez les limites de débit pour tous les détails.
Si une seule IP effectue trop de requêtes, elle est temporairement limitée (HTTP 429). Des abus répétés entraînent un bannissement de 24 heures (HTTP 403).
Mon IP est-elle stockée ?
Oui — mais uniquement sous forme de hachage SHA-256 salé, jamais en clair. Nous l'utilisons pour deux choses :
- Limitation de débit — le hachage sert de clé pour nos fichiers de compteurs par IP dans
/tmp/cleverutils-api-ratelimit/. Ces fichiers sont supprimés automatiquement après 25 heures. - Journalisation — les 16 premiers caractères du hachage sont inscrits dans nos journaux de requêtes (dans
/tmp/cleverutils-api-logs/) pour le débogage et la détection des abus. Les journaux sont renouvelés après 30 jours.
Nous ne stockons jamais les IP en clair. Nous ne journalisons jamais les corps des requêtes. Nous ne partageons jamais de données avec des tiers.
Sessions et cookies
Pour des raisons historiques, l'API peut définir un cookie PHPSESSID dans ses réponses. Vous pouvez l'ignorer. L'API ne dépend pas des sessions ni des cookies pour l'authentification ou la limitation de débit — elle est purement basée sur l'IP.
La plupart des clients HTTP (cURL sans -c, Python requests sans Session, Go http.DefaultClient) ne conservent de toute façon pas les cookies. Vous pouvez ignorer l'en-tête en toute sécurité.
Et CORS ?
L'API répond avec Access-Control-Allow-Origin: * sur chaque endpoint, vous pouvez donc l'appeler directement depuis une application JavaScript côté navigateur sur n'importe quel domaine. Les requêtes preflight (OPTIONS) sont gérées automatiquement.
À l'avenir : clés API optionnelles
Nous pourrions introduire plus tard des clés API optionnelles pour les utilisateurs qui ont besoin de quotas plus élevés ou souhaitent des analyses par clé. Quand cela arrivera :
- Le palier gratuit anonyme restera gratuit et sans clé.
- Les clés seront envoyées via l'en-tête de requête
X-API-Key(et nonAuthorization: Bearer). - Cette page sera mise à jour avec les instructions complètes.
D'ici là : envoyez simplement des requêtes HTTP et vous êtes authentifié.