Ontwikkelaarstools: API en MCP

SuperSpace is opgebouwd rond één REST API. Alles wat het dashboard doet — sites provisionen, DNS bewerken, de CDN en Shield configureren, metrics uitlezen — verloopt via diezelfde API. Je kunt hem zelf aanroepen om werk te automatiseren of een integratie te bouwen, en je kunt een AI-assistent een zorgvuldig samengestelde subset ervan laten aanroepen via de MCP-server.

De korte versie

De REST API is een verzameling JSON-over-HTTP-endpoints onder /api. Je roept hem aan vanuit scripts, je eigen apps of de command line.
De MCP-server (POST /mcp) stelt een handmatig geselecteerde set van de API beschikbaar als tools die AI-assistenten namens jou kunnen aanroepen.
Je authenticeert de REST API met een API-sleutel die je in het dashboard aanmaakt, of met een OAuth-accesstoken. De MCP-server is alleen via OAuth.
Begin met het API-overzicht voor de REST API, of Verbinden met MCP om een assistent aan te sluiten.

Hoe de API en MCP zich verhouden

De REST API is de basis. De MCP-server zit erbovenop en hergebruikt exact dezelfde backend — wanneer een assistent een MCP-tool aanroept, voert SuperSpace dezelfde logica uit en geeft het dezelfde data terug als het bijbehorende REST-endpoint. Het verschil zit in wie aan het stuur zit en hoe het oppervlak is vormgegeven:

	REST API	MCP-server
Wie roept het aan	Je scripts en integraties	AI-assistenten (LLM-clients)
Endpoint	`/api/...` (veel endpoints)	Eén `POST /mcp`-endpoint
Vorm	HTTP-routes en JSON-bodies	Benoemde tools waaruit de assistent kiest
Inloggen	API-sleutel of OAuth-token	Alleen OAuth-token
Dekking	Het volledige API-oppervlak	Een samengestelde subset — brede reads, enkele veilige writes

De praktische conclusie: als je code schrijft, gebruik dan rechtstreeks de REST API. Als je wilt dat Claude (of een andere assistent) je SuperSpace-account in een gesprek leest en aanpast, verbind het dan met MCP — je schrijft zelf geen HTTP, de assistent roept de tools voor je aan.

De REST API

De REST API dekt sites, domeinen, DNS, de CDN en cache, Shield (de WAF/DDoS/bot-beschermingslaag), back-ups, metrics, bestellingen en meer. Verzoeken zijn gewone HTTPS met een JSON-respons. Een read ziet er zo uit:

curl -H "Authorization: Bearer $SUPERSPACE_TOKEN" \
     -H "X-Auth-Account: $ACCOUNT_ID" \
     https://control.superspace.nl/api/sites

De X-Auth-Account-header vertelt SuperSpace op welke workspace het verzoek van toepassing is — deze waarde (je Account-ID) vind je op hetzelfde dashboardscherm waar je API-sleutels aanmaakt. OAuth-tokens kennen hun workspace al, dus die hebben deze header niet nodig.

Waar je hierna heen gaat

Het API-overzicht is de volledige referentie: authenticatie, elk endpoint, request- en responsvormen, en foutcodes. Deze pagina is alleen de oriëntatie.

Authenticeren met een API-sleutel

De eenvoudigste manier om de API aan te roepen is met een API-sleutel — een token met lange levensduur dat je in het dashboard aanmaakt en bij elk verzoek meestuurt. Om er een aan te maken:

Open het avatarmenu (gebruikersmenu) en kies Mijn instellingen. Kies in de instellingen-zijbalk, onder de sectie Developer, voor API Keys.
Geef de sleutel een naam en selecteer API-sleutel maken.
Kopieer het token direct — om veiligheidsredenen wordt het maar één keer getoond. Hetzelfde scherm toont je Account-ID (Workspace) met een kopieerknop; dat is de X-Auth-Account-waarde die je verzoeken nodig hebben.

Je kunt een sleutel op elk moment intrekken vanaf datzelfde API Keys-scherm, dat voor elke sleutel de naam toont, wanneer hij is aangemaakt en wanneer hij voor het laatst is gebruikt.

Behandel API-sleutels als wachtwoorden

Een API-sleutel heeft dezelfde toegang als jij in die workspace en is niet scope-beperkt. Iedereen die hem heeft, kan namens jou handelen. Bewaar sleutels ergens veilig, commit ze nooit naar versiebeheer, en trek elke sleutel in die je verdenkt te zijn gelekt.

Trial-workspaces kunnen de API niet gebruiken

De API en MCP-server weigeren elk credential dat naar een trial-workspace verwijst. Upgrade naar een betaald abonnement om ontwikkelaarstools te gebruiken.

API-activiteit bekijken

Het dashboard houdt een log bij van verzoeken die met je persoonlijke API-sleutels zijn gedaan. Open onder dezelfde Developer-zijbalksectie API Request Logs om voor elk verzoek het tijdstip, de gebruikte sleutel, de HTTP-methode, de URL en het bron-IP-adres te zien. Dit is handig om te bevestigen dat een integratie werkt en om verzoeken op te sporen die je niet had verwacht.

Authenticeren met OAuth

OAuth is de juiste keuze wanneer een app van een derde partij namens jou moet handelen en je hem geen ruwe API-sleutel wilt geven. In plaats van een sleutel in het product van iemand anders te plakken, klik je door een SuperSpace-inlogscherm, kies je welke workspace de app mag aanraken, en keur je een specifieke lijst met rechten (scopes genoemd) goed. De app ontvangt een token dat beperkt is tot precies wat je hebt goedgekeurd — bijvoorbeeld alleen-lezen toegang tot je sites en DNS, maar niets dat geld uitgeeft.

OAuth-tokens zijn bewust beperkter dan API-sleutels: ze zijn beperkt tot de scopes die je hebt toegekend, ze zijn vergrendeld op één workspace, en sommige gevoelige acties (zoals het plaatsen van betaalde bestellingen) kunnen helemaal niet met een OAuth-token. Zie OAuth 2.1 voor de scopelijst en de volledige autorisatiestroom.

Alleen betaalde workspaces verschijnen in de kiezer

Wanneer je een app autoriseert, toont SuperSpace een kiezer van de workspaces waaraan je toegang kunt verlenen. Trial-workspaces verschijnen daar niet. Als je geen betaalde workspace op de huidige site hebt, zie je in plaats daarvan een No eligible workspace-pagina — upgrade eerst een trial-workspace of maak een betaalde aan.

De MCP-server

MCP (Model Context Protocol) is een open standaard waarmee AI-assistenten externe tools kunnen aanroepen. SuperSpace draait een MCP-server zodat een assistent je sites, DNS, domeinen, CDN en Shield via een normaal gesprek kan beheren — je vraagt het in gewone taal, en de assistent roept de juiste tools aan.

Wat je via MCP kunt doen is een samengestelde subset van de REST API: brede read-toegang (sites, DNS-records, CDN- en Shield-status, metrics, bestellingen en abonnementen opvragen en inspecteren) plus een kleine set veilige writes (zoals het hernoemen of herstarten van een site, DNS-records bewerken, de CDN-cache leegmaken, en Shield-regels aanpassen). De assistent ziet alleen de tools die je toegekende rechten toestaan, dus een alleen-lezen autorisatie kan niet worden gebruikt om iets te wijzigen.

Een paar dingen zijn bewust niet beschikbaar via MCP — met name alles wat geld uitgeeft, zoals het plaatsen van een bestelling. Die blijven op het pad van de API-sleutel.

Verbinding maken

Moderne assistenten verbinden rechtstreeks met SuperSpace via internet — geen lokale installatie of configuratiebestand. Je richt je client op de MCP-URL (https://control.superspace.nl/mcp) en autoriseert in de browser, precies zoals de OAuth-stroom hierboven. De stapsgewijze setup voor specifieke clients staat in Verbinden met MCP.

MCP is alleen via OAuth

De MCP-server accepteert geen API-sleutels — elke verbinding autoriseert via OAuth zodat je kunt afbakenen wat de assistent mag doen en het later kunt intrekken. Het token is ook gebonden aan exact de SuperSpace-host waartegen je hebt geautoriseerd, dus een white-label merk gebruikt zijn eigen MCP-URL.

Welke moet ik gebruiken?

Een taak automatiseren of een integratie bouwen? Gebruik de REST API met een API-sleutel. Begin bij het API-overzicht.
De app van een ander bedrijf toegang geven tot je account? Gebruik OAuth zodat je beperkte, intrekbare toegang kunt verlenen. Zie OAuth 2.1.
Werken met een AI-assistent? Verbind het met de MCP-server. Zie Verbinden met MCP en de MCP-referentie.