Você constrói IA em um app chamando a API do modelo no lado do servidor e tratando sua saída como entrada não confiável. Para Claude, isso significa chamar a Messages API de seu backend (PHP, para um plugin WordPress) com a chave de API mantida no servidor — nunca em JavaScript do lado do cliente, onde qualquer pessoa poderia roubá-la.
A regra principal: a chave de API vive no servidor. O navegador fala com seu endpoint; seu endpoint fala com Claude.
<?php
// In a WordPress plugin: run this in PHP (server-side), never expose the key to JS.
$resp = wp_remote_post( 'https://api.anthropic.com/v1/messages', [
'headers' => [
'x-api-key' => getenv( 'ANTHROPIC_API_KEY' ), // from env/secret store, not code
'anthropic-version' => '2023-06-01',
'content-type' => 'application/json',
],
'timeout' => 30,
'body' => wp_json_encode( [
'model' => 'claude-sonnet-4-5', // pick a current model id
'max_tokens' => 1024, // cap output → controls cost
'messages' => [
[ 'role' => 'user', 'content' => $user_prompt ],
],
] ),
] );
if ( is_wp_error( $resp ) ) { /* handle network/timeout errors, maybe retry */ }
$data = json_decode( wp_remote_retrieve_body( $resp ), true );
$text = $data['content'][0]['text'] ?? ''; // validate before trusting/displaying it
- TOOL USE / FUNCTION CALLING → let the model call your functions (search, DB lookup)
- STREAMING → stream tokens for a responsive UI on long answers
- PROMPT CACHING → cache a large static system prompt → cheaper, faster
- STRUCTURED OUTPUT → ask for JSON, then parse + schema-validate it
- ERRORS & RATE LIMITS → handle 429/5xx with backoff + retry; show a fallback
- COST → cap max_tokens, log token usage, set per-user limits
Sempre valide a saída do modelo antes de usá-la: nunca a execute como código, nunca a renderize sem escape ou nunca a escreva no seu DB sem verificação. O modelo é um gerador de texto poderoso mas falível, não uma fonte confiável.
Entregar IA dentro de um produto real é principalmente a engenharia chata-mas-crítica em torno da chamada, não a chamada em si. Manter a chave no lado do servidor evita roubo e contas descontroladas; lidar com erros, limites de taxa e custos mantém o recurso confiável e acessível; e validar a saída antes de agir sobre ela evita que os erros do modelo ou uma instrução injetada se tornem uma falha de segurança. Faça isso certo e a Messages API se torna um bloco de construção confiável; pule e uma demo impressionante se torna uma chave vazada, uma fatura surpresa ou um exploit.