Zum Hauptinhalt springen
aniragio

Authentication

Bearer-Token-Authentifizierung, API-Key-Typen, BYOK-Mechanik und SSO-Hinweise.

Anirag-API authentifiziert ausschließlich via Bearer-Token im Authorization-Header. Jeder Request, der einen 200er-Response erwartet, muss einen API-Key mitführen.

API-Key-Typen

Anirag kennt drei Key-Typen, jeweils mit eigenem Prefix:

PrefixTypBeschreibung
ar_live_...Production-KeyProduction-Workspace. Echte Daten, echte Kosten, echte Audit-Logs. Kann pro Workspace mehrfach existieren (z. B. ein Key pro Service).
ar_test_...Sandbox-KeyTest-Workspace mit Mock-Provider. Keine LLM-Kosten, aber auch keine echten Antworten. Ideal für CI-Tests und Pen-Test-Vorbereitung.
ar_ws_...Workspace-Service-KeyAuf einen einzelnen Workspace begrenzt, mit reduzierten Scopes (z. B. nur Read-Query, nicht Write-Docs). Ideal für gehärtete Service-Accounts.

Request-Header

curl https://api.anirag.io/v1/query \
  -H "Authorization: Bearer ar_live_8f3a..." \
  -H "Content-Type: application/json" \
  -d '{
    "collection_id": "col_abc123",
    "question": "Wie funktioniert die Hydraulikflüssigkeits-Wartung?"
  }'

BYOK (Bring Your Own Key)

Im Business- und Enterprise-Plan können Sie Ihre eigenen LLM-Provider-Keys an Anirag durchreichen. Vorteil: Sie zahlen LLM-Kosten direkt an Anthropic / OpenAI / Mistral, Anirag erhebt nur die Plattform-Gebühr (-70 % LLM-Kosten typisch).

const client = new Anirag({
  apiKey: process.env.ANIRAG_API_KEY,
  byok: {
    anthropic: process.env.ANTHROPIC_API_KEY,
    openai: process.env.OPENAI_API_KEY,
    mistral: process.env.MISTRAL_API_KEY,
  },
});

SSO für Web-App-Login

Die Web-App (app.anirag.io) unterstützt Login via:

  • E-Mail + Passwort (alle Pläne)
  • Google + Microsoft (Business+ via Clerk)
  • SAML 2.0 / OIDC (Enterprise)
  • SCIM 2.0 für automatisches Provisioning (Enterprise)

API-Calls selbst gehen aber immer über Bearer-Tokens — SSO ist nur für die Browser-Sitzung.

Audit-Trail

Jeder API-Call erzeugt einen Eintrag im Audit-Log mit:

  • Timestamp (ISO 8601 UTC)
  • API-Key-Prefix (8 sichtbare Zeichen)
  • HTTP-Method + Path
  • Source-IP
  • Response-Status
  • Tokens used (input + output)

Audit-Logs sind via GET /v1/audit?from=...&to=... abrufbar oder als CSV-Export im Web-UI verfügbar.