如何混淆来自盖茨比的API调用？

Question

我正在用Gatsby开发一个应用程序，允许用户通过表单提交他们的信息。然后，表单通过fetch将该信息提交给私有API。问题是，此调用向浏览器公开API密钥，从而允许任何人将其用于任何其他API函数。

如何混淆API调用，使其不向浏览器公开API键？

我想这需要我编写一个服务器端包装器，但是如何使用盖茨比呢？

Answer 1

这些反应并没有真正抓住这个问题。如果提交操作需要将API键发送到远程API，则不能将API键保存在服务器端。唯一能做到这一点的方法是创建一个处理API调用的服务器端包装器。我该怎么和盖茨比做这件事？

考虑到这种情况，我认为您(至少)有两个选择：

• 使用无服务器函数代理调用，而不必托管服务器(这些环境变量将存储在其中)。根据您的托管平台的不同，您可以使用Netlify函数 (用于Netlify托管)、盖茨比函数 (用于Gatsby托管)、拉姆达 (用于与亚马逊相关的托管)、Google云功能等。您甚至可以在这些平台上不托管项目而使用它们。
• 代理API通过前端后端调用，如Express服务器，并将秘密添加到Express服务器。

这两种方法都依赖于这样一个事实，即无服务器功能/Express服务器将用作这些请求的中间件，从而向浏览器隐藏您的秘密。