在IT行业这个发展更新速度很快的行业，只有不停止的学习，才不会被行业所淘汰。如果你是文章学习者，那么本文《Next.js 中安全使用 API 密钥的实践方法》就很适合你！本篇内容主要包括##content_title##，希望对大家的知识积累有所帮助，助力实战开发！

1. API 密钥安全的重要性

在构建任何与外部服务交互的应用程序时，API 密钥扮演着认证和授权的关键角色。然而，如果处理不当，API 密钥可能会被恶意用户获取，从而导致未经授权的数据访问、滥用服务配额甚至安全漏洞。

为什么不能直接在客户端代码中使用 API 密钥？

客户端（即浏览器）代码是公开的。任何用户都可以通过浏览器的开发者工具查看前端代码、网络请求，甚至直接访问 JavaScript 变量。如果将 API 密钥硬编码或直接暴露在客户端代码中，攻击者可以轻易地提取这些密钥，并利用它们发起恶意请求，这无疑是一个巨大的安全风险。

客户端与服务器端环境的区别

• 客户端环境： 指用户浏览器中运行的代码。它不安全，任何敏感信息都应避免在此处存储或直接使用。
• 服务器端环境： 指在服务器上运行的代码（例如 Next.js 的 Node.js 环境）。这部分代码不会直接暴露给用户浏览器，因此是存储和使用敏感信息（如 API 密钥）的理想场所。

为了确保 API 密钥的安全性，核心原则是：所有涉及敏感 API 密钥的请求都必须在服务器端发起。

2. 使用环境变量存储 API 密钥

环境变量是存储配置信息（包括敏感数据）的常用且安全的方法。它们允许我们在不将密钥直接写入代码库的情况下，为应用程序提供必要的配置。

什么是环境变量？

环境变量是操作系统或运行环境提供的一组动态命名值，程序可以在运行时访问这些值。在开发环境中，我们通常使用 .env 文件来管理这些变量。

在 Next.js 中配置环境变量

Next.js 内置支持环境变量。你可以在项目根目录下创建 .env.local 文件来定义环境变量。

1. 创建 .env.local 文件： 在你的 Next.js 项目根目录创建名为 .env.local 的文件。

2. 添加你的 API 密钥： 在该文件中，以 KEY_NAME=VALUE 的格式添加你的 API 密钥。例如：

   NEWS_API_KEY=your_super_secret_news_api_key_here

   重要提示： .env.local 文件应添加到你的 .gitignore 文件中，以防止它被意外提交到版本控制系统（如 Git）。

   # .gitignore
   .env.local

区分客户端与服务器端环境变量

Next.js 对环境变量做了特殊处理：

• 服务器端环境变量： 默认情况下，所有在 .env.local 中定义的变量都只在服务器端（例如 getServerSideProps、API Routes/Route Handlers）可用。它们不会被打包到客户端 JavaScript 包中。

• 客户端环境变量（NEXT_PUBLIC_ 前缀）： 如果你需要让某个环境变量在客户端代码中也能访问（例如，一个公共的 API URL，不包含密钥），你必须给它加上 NEXT_PUBLIC_ 前缀。

  # .env.local
  NEXT_PUBLIC_ANALYTICS_ID=UA-XXXXX-Y # 客户端可用
  NEWS_API_KEY=your_super_secret_news_api_key_here # 仅服务器端可用

  警告： 永远不要将敏感的 API 密钥使用 NEXT_PUBLIC_ 前缀，因为这会将其暴露给客户端浏览器。

如何在代码中访问环境变量

在 Next.js 应用中，你可以通过 process.env 对象访问环境变量。

// 示例：在服务器端代码中访问 NEWS_API_KEY
const apiKey = process.env.NEWS_API_KEY;

// 示例：在客户端代码中访问 NEXT_PUBLIC_ANALYTICS_ID
// 注意：客户端代码中只能访问 NEXT_PUBLIC_ 开头的变量
const analyticsId = process.env.NEXT_PUBLIC_ANALYTICS_ID;

3. 在服务器端安全地发起 API 请求

既然 API 密钥只能在服务器端访问，那么所有需要使用这些密钥的外部 API 请求都必须在服务器端完成。Next.js 提供了两种主要的服务器端路由方式：API Routes (Pages Router) 和 Route Handlers (App Router)。对于新项目，推荐使用 App Router 中的 Route Handlers。

为什么必须在服务器端发起请求？

通过在服务器端（Next.js 的 API Route 或 Route Handler）发起请求，你的 API 密钥永远不会离开服务器环境。客户端只负责向你的 Next.js 服务器端路由发送请求，然后服务器端路由使用内部的 API 密钥向外部 API 发起请求，获取数据后再将处理后的结果返回给客户端。

Route Handlers (App Router) 示例

假设我们要在 Next.js 的 App Router 中从 NewsCatcher API 获取新闻数据。

1. 创建 Route Handler： 在 app 目录下创建一个 api 目录，并在其中创建子目录（例如 news），再创建 route.ts 文件。 路径示例：app/api/news/route.ts

   // app/api/news/route.ts
   import { NextResponse } from 'next/server';
   
   export async function GET(request: Request) {
     const { searchParams } = new URL(request.url);
     const query = searchParams.get('query') || 'latest'; // 获取查询参数，例如 'tech'
   
     // 从环境变量中获取 API 密钥
     const NEWS_API_KEY = process.env.NEWS_API_KEY;
   
     if (!NEWS_API_KEY) {
       return NextResponse.json({ error: 'API Key not configured' }, { status: 500 });
     }
   
     try {
       const response = await fetch(`https://api.newscatcherapi.com/v2/search?q=${query}&lang=en`, {
         headers: {
           'x-api-key': NEWS_API_KEY, // 使用环境变量中的 API 密钥
           'Content-Type': 'application/json',
         },
       });
   
       if (!response.ok) {
         const errorData = await response.json();
         console.error('External API error:', errorData);
         return NextResponse.json({ error: 'Failed to fetch news', details: errorData }, { status: response.status });
       }
   
       const data = await response.json();
       return NextResponse.json(data); // 将数据返回给客户端
     } catch (error) {
       console.error('Server error during API call:', error);
       return NextResponse.json({ error: 'Internal Server Error' }, { status: 500 });
     }
   }

2. 从客户端调用 Route Handler： 现在，你的前端组件可以安全地调用你自己的 /api/news 路由，而无需知道或暴露实际的 NEWS_API_KEY。

   // components/NewsFetcher.tsx 或 page.tsx
   'use client'; // 如果在 App Router 的客户端组件中使用
   
   import React, { useState, useEffect } from 'react';
   
   interface Article {
     title: string;
     link: string;
     // ... 其他文章属性
   }
   
   export default function NewsFetcher() {
     const [news, setNews] = useState([]);
     const [loading, setLoading] = useState(true);
     const [error, setError] = useState(null);
     const [query, setQuery] = useState('latest'); // 默认查询
   
     useEffect(() => {
       const fetchNews = async () => {
         setLoading(true);
         setError(null);
         try {
           // 调用你自己的服务器端路由
           const response = await fetch(`/api/news?query=${query}`);
   
           if (!response.ok) {
             const errorData = await response.json();
             throw new Error(errorData.error || 'Failed to fetch news from internal API');
           }
   
           const data = await response.json();
           setNews(data.articles || []);
         } catch (err: any) {
           setError(err.message);
           setNews([]);
         } finally {
           setLoading(false);
         }
       };
   
       fetchNews();
     }, [query]);
   
     const handleSearch = (e: React.FormEvent) => {
       e.preventDefault();
       const input = (e.target as HTMLFormElement).elements.namedItem('searchQuery') as HTMLInputElement;
       setQuery(input.value);
     };
   
     if (loading) return 
   加载中...
   ;
     if (error) return 
   错误: {error}
   ;
   
     return (
       
   
         
   最新新闻
         
   
           
           搜索
         
         
   
           {news.map((article, index) => (
             
   
               
                 {article.title}
               
             
           ))}
         
         {news.length === 0 && 
   未找到相关新闻。
   }
       
     );
   }

API Routes (Pages Router) 简述

如果你正在使用 Pages Router，你可以通过在 pages/api 目录下创建文件来创建 API Routes。例如，pages/api/news.ts 文件将对应 /api/news 路径。其内部逻辑与 Route Handlers 类似，也是在服务器端获取环境变量并发起请求。

// pages/api/news.ts (Pages Router 示例)
import type { NextApiRequest, NextApiResponse } from 'next';

export default async function handler(req: NextApiRequest, res: NextApiResponse) {
  const { query } = req.query; // 获取查询参数

  const NEWS_API_KEY = process.env.NEWS_API_KEY;

  if (!NEWS_API_KEY) {
    return res.status(500).json({ error: 'API Key not configured' });
  }

  try {
    const response = await fetch(`https://api.newscatcherapi.com/v2/search?q=${query || 'latest'}&lang=en`, {
      headers: {
        'x-api-key': NEWS_API_KEY,
        'Content-Type': 'application/json',
      },
    });

    if (!response.ok) {
      const errorData = await response.json();
      console.error('External API error:', errorData);
      return res.status(response.status).json({ error: 'Failed to fetch news', details: errorData });
    }

    const data = await response.json();
    return res.status(200).json(data);
  } catch (error) {
    console.error('Server error during API call:', error);
    return res.status(500).json({ error: 'Internal Server Error' });
  }
}

4. 部署与环境变量

在生产环境中部署 Next.js 应用时，你需要确保你的环境变量也正确配置。主流的部署平台（如 Vercel、Netlify、AWS Amplify 等）都提供了管理环境变量的界面或命令行工具。

例如，在 Vercel 上部署 Next.js 应用时，你可以在项目设置中找到“Environment Variables”部分，然后添加你的 NEWS_API_KEY。这样，在构建和运行你的应用时，这些变量就会自动注入到服务器环境中。

5. 注意事项与最佳实践

• 永远不要将敏感密钥硬编码到代码中： 这不仅不安全，也使得密钥更新变得困难。
• 定期轮换 API 密钥： 即使密钥没有泄露，定期更换也能降低潜在风险。
• 考虑速率限制和错误处理： 在你的服务器端路由中，实现对外部 API 的速率限制和健壮的错误处理，以应对 API 服务中断或限制。
• 最小权限原则： 仅授予 API 密钥完成其任务所需的最小权限。
• Server Actions (Alpha): Next.js 引入了 Server Actions，它允许直接在客户端组件中调用服务器端函数。虽然这提供了一种更直接的服务器端交互方式，但由于其目前仍处于 Alpha 阶段，且在密钥管理方面与 Route Handlers 遵循相同原则（密钥仍需在服务器端处理，不能直接暴露），对于生产环境的敏感密钥处理，建议优先使用 Route Handlers 或 API Routes。

6. 总结

在 Next.js 应用中安全地管理和使用 API 密钥是构建健壮且安全应用程序的关键。通过遵循以下核心原则，你可以有效保护你的敏感信息：

1. 使用环境变量： 将所有敏感 API 密钥存储在 .env.local 文件中，并在部署时配置到生产环境。
2. 服务器端处理： 确保所有涉及 API 密钥的外部 API 请求都在 Next.js 的服务器端路由（Route Handlers 或 API Routes）中完成。
3. 避免客户端暴露： 绝不将敏感密钥暴露给客户端浏览器。

通过这些实践，你可以确保你的 Next.js 应用既能利用外部服务的功能，又能最大限度地保障其安全性。

理论要掌握，实操不能落！以上关于《Next.js安全使用API密钥的技巧》的详细介绍，大家都掌握了吧！如果想要继续提升自己的能力，那么就来关注golang学习网公众号吧！