问我如何发送来自SvelteKit应用程序的安全API请求，而无需在客户端显示API密钥？

EN

SvelteKit在两个主要地方支持服务器端代码：

• 端点
• 钩子

浏览器将永远无法访问这些代码；只有结果。而且，任何网络调用对客户端都是不可见的，因为它们都发生在服务器上(对于在URL中嵌入API密钥的情况)。每个API的locals属性是与所有服务器端部分共享敏感数据(如API键)的好地方。

一般建议使用本地端点代理外部API调用：

1. 从SvelteKit中获取一个本地SvelteKit页面端点(而不是直接调用外部API，比如Supabase )。您可以从页面上的两个不同位置获取端点：
   • load() in <script context="module"> (允许在发送/呈现页面之前从服务器端调用API)
   • 主<script>

2. 在单例中初始化外部API。
3. 从端点调用外部API并将结果返回到页面。

备注：

• SvelteKit端点是无服务器lambda函数的推广。(见Netlify或AWS口味)
• 端点/钩子中使用的任何NPM模块必须是devDependencies。
• 建议使用fetch() (例如，vs axios )，特别是在load()中。load()提供了一个特殊版本的fetch()，它缓存来自服务器端的调用，以便客户端可以重用结果。
• 步骤2主要是支持像Netlify这样的无服务器环境。