Допустим, злоумышленник подсмотрит ваш API ключ в исходном коде страницы Подсказок. После этого он может счастливо обрабатывать данные за ваш счет через API.

Чтобы лишить злоумышленника радости, мы придумали секретный ключ. Вы должны указать ключ при вызове API стандартизации на сервере. Соответственно, мы не даем вызывать стандартизацию из клиентского JS кода, потому что иначе злоумышленник его похитит, и сможет за ваш счет стандартизировать свои данные.

Секретный ключ автоматически генерируется вместе с API-ключом.



2. Укажите его в заголовке X-Secretпри стандартизации:
curl -X POST \
  -H "Content-Type: application/json" \
  -H "Authorization: Token ${API_KEY}" \
  -H "X-Secret: ${SECRET_KEY}" \
  -d '[ "мск сухонска 11/-89" ]' \
  http://dadata.ru/api/v2/clean/address

Сервис поддержки клиентов работает на платформе UserEcho