Construiești AI într-o aplicație apelând API-ul modelului pe partea serverului și tratând rezultatul acestuia ca intrare de neîncredere. Pentru Claude, asta înseamnă apelarea Messages API din backend-ul tău (PHP, pentru un plugin WordPress) cu cheia API păstrată pe server — niciodată în JavaScript pe partea clientului, unde oricine ar putea să o fure.
Regula principală: cheia API trăiește pe server. Browserul vorbeşte cu punctul tău final; punctul tău final vorbeşte cu Claude.
<?php
// In a WordPress plugin: run this in PHP (server-side), never expose the key to JS.
$resp = wp_remote_post( 'https://api.anthropic.com/v1/messages', [
'headers' => [
'x-api-key' => getenv( 'ANTHROPIC_API_KEY' ), // from env/secret store, not code
'anthropic-version' => '2023-06-01',
'content-type' => 'application/json',
],
'timeout' => 30,
'body' => wp_json_encode( [
'model' => 'claude-sonnet-4-5', // pick a current model id
'max_tokens' => 1024, // cap output → controls cost
'messages' => [
[ 'role' => 'user', 'content' => $user_prompt ],
],
] ),
] );
if ( is_wp_error( $resp ) ) { /* handle network/timeout errors, maybe retry */ }
$data = json_decode( wp_remote_retrieve_body( $resp ), true );
$text = $data['content'][0]['text'] ?? ''; // validate before trusting/displaying it
- TOOL USE / FUNCTION CALLING → let the model call your functions (search, DB lookup)
- STREAMING → stream tokens for a responsive UI on long answers
- PROMPT CACHING → cache a large static system prompt → cheaper, faster
- STRUCTURED OUTPUT → ask for JSON, then parse + schema-validate it
- ERRORS & RATE LIMITS → handle 429/5xx with backoff + retry; show a fallback
- COST → cap max_tokens, log token usage, set per-user limits
Validează întotdeauna ieşirea modelului înainte de a o folosi: nu o executa niciodată ca cod, nu o reda niciodată fără escape-uri sau nu o scrie niciodată în baza ta de date necontrolată. Modelul este un generator de text puternic dar greșit, nu o sursă de încredere.
Livratâd AI în interiorul unui produs real este mai mult ingineria plictisitoare-dar-critică în jurul apelului, nu apelul în sine. Menținerea cheii pe partea serverului previne furtul și facturile necontrolate; gestionarea erorilor, limitelor de rată și costurilor menține funcția fiabilă și accesibilă; iar validarea ieșirii înainte de a acționa în funcție de ea previne ca greșelile modelului sau o instrucțiune injectată să nu devină o gaură de securitate. Fă-o corect și Messages API devine un bloc de construcție de încredere; omite-o și o demonstrație impresionantă se transformă într-o cheie scurgere, o factură surpriză sau o exploatare.