当您将一次API调用转化为实际操作时，幕后发生了什么？

当您将一次 API 调用转化为实际操作时，幕后发生了什么？

在现代应用开发中，API 调用是实现前后端交互的核心方式。然而，许多人可能并不了解，当我们在开发工具中配置 API 调用时，实际发生了什么。本文将以 FlutterFlow 为例，探讨 API 调用的安全性问题，以及如何通过不同的技术手段保护敏感信息。

默认情况下的 API 调用安全性

在 FlutterFlow 中，默认的 API 调用是公开的。这意味着，如果有人通过反编译 APK 文件，或者在 Web 应用中打开开发者工具，就有可能访问到 API 密钥等敏感信息。这种公开的调用方式显然存在安全隐患，尤其是在涉及到用户数据或其他敏感操作时。

使用 Firebase 云函数保护 API 调用

为了保护 API 调用，FlutterFlow 提供了一种将 API 调用私有化的方法，即将其部署为 Firebase 云函数。通过这种方式，API 密钥和授权头等敏感信息不会直接暴露在客户端，而是由云函数在服务器端进行管理和处理。

Firebase 云函数的优势

• 密钥保护：API 密钥存储在 Firebase 云函数中，避免了直接暴露在客户端的风险。
• 请求管理：所有的 API 调用都会通过云函数中转，从而实现更高的安全性和灵活性。
• 扩展性强：可以根据需求在云函数中添加额外的逻辑，如身份验证、数据过滤等。

Supabase 的边缘函数是否可以替代？

如果您的后端使用的是 Supabase，那么可能会好奇，是否可以用 Supabase 的边缘函数来实现类似的保护机制。边缘函数是 Supabase 提供的一种类似于 Firebase 云函数的功能，允许开发者在服务器端处理 API 调用。

虽然目前文档中没有明确说明如何使用边缘函数保护 API 调用，但理论上，它可以实现类似的效果。通过将 API 密钥和授权头存储在边缘函数中，您可以避免这些敏感信息被直接暴露在客户端。

使用 BuildShip 替代 Cloud Functions 的可能性

除了 Firebase 云函数，一些开发者还尝试使用 BuildShip 来保护 API 调用。BuildShip 是一种工具，理论上可以提供与 Cloud Functions 类似的安全性。在这种情况下，即使 FlutterFlow 集成了 Supabase，您也可以通过 BuildShip 与 Supabase 的集成来管理 API 调用。

BuildShip 的应用场景

• 数据查询：通常用于从 Supabase 的表中搜索数据，例如在应用程序中实现搜索功能。
• 安全性提升：通过在服务器端处理 API 调用，避免敏感信息泄露。

需要注意的是，BuildShip 的具体实现效果可能因项目需求和配置而异，因此在使用前需要进行充分的测试。

总结

在现代应用开发中，保护 API 调用的安全性至关重要。无论是使用 Firebase 云函数、Supabase 边缘函数，还是 BuildShip，都可以有效地减少敏感信息被泄露的风险。选择哪种方案，取决于您的技术栈和具体需求。

通过本文的探讨，希望您对 API 调用的安全性有了更深入的理解，并能够根据实际情况选择合适的保护措施。

原文链接: https://community.flutterflow.io/ask-the-community/post/what-happens-behind-the-scenes-when-you-turn-an-api-call-into-a-private-deHNilLrygQpYhZ