Scoped Search-Tokens
HMAC-signierte Tokens, die Berechtigungen auf einen bestimmten Index, Nutzer, TTL und Filter einschränken — niemals erweitern.
Feingranulare Zugriffskontrolle
Token serverseitig ausstellen, in den Browser ausliefern. Er läuft ab, ist auf einen Index beschränkt und kann das Ergebnis nur per AND einengen.
HMAC-signiert
Tokens werden mit Ihrem Secret signiert. Manipulation oder Replay ist kryptografisch nachweisbar.
TTL-gebunden
Jeder Scoped Token enthält eine Ablaufzeit. Kurzlebige Tokens für Browser-Sessions; längere TTLs für Server-zu-Server-Kommunikation.
AND-kombinierte Filter
Ein Token kann einen Pflichtfilter tragen (z. B. userId = 42). Der Server kombiniert ihn per AND mit dem Filter des Aufrufers — niemals per OR.
Origin-Bindung
Token an bestimmte Origins binden. Ein in JavaScript exportierter Token kann nur von Ihrer Domain aus genutzt werden.
Index-gebunden
Jeder Token ist an einen einzelnen Index gebunden. Cross-Index-Abfragen erfordern einen separaten Token pro Index.
Serverseitige Ausstellung
Tokens werden von Ihrem Backend per einzelnem API-Aufruf ausgestellt. Der Browser sieht niemals Ihren Admin-API-Key.
Search OS in einem Abend starten
Erstellen Sie einen Index, fügen Sie Dokumente hinzu und verbinden Sie die Suche von Ihrer App. Free-Tier deckt ein Prototyp ab — Daten bleiben beim Upgrade erhalten.