Ocultar Endpoints de API en Next.js

Guía para ocultar endpoints en Next.js: compara indirecto y directo fetching, usa Server Actions con Supabase y buenas prácticas de seguridad para APIs.

24 ago 2025 • 4 min de lectura • Equip Q2BSTUDIO

Inteligencia-Artificial-

En Next.js es fundamental proteger datos sensibles y evitar la exposición de endpoints de API para construir aplicaciones web seguras. La forma en que obtienes datos, directa o indirectamente, determina si las llamadas aparecen en la pestaña de red del navegador. A continuación se presenta una guía práctica y ejemplos de concepto que comparan fetching directo e indirecto y muestran cómo ocultar endpoints en Next.js, apoyada en un proyecto que usa Next.js 15.5.0, React 19.1.0 y Supabase.

Estructura y preparación del proyecto

El ejemplo parte de un proyecto Next.js que utiliza una tabla de Supabase llamada post con columnas post y keyword para almacenar y consultar contenido según palabras clave seleccionadas por el usuario. La idea es demostrar cómo obtener posts que coinciden con una keyword y cómo varía la exposición del endpoint según el método elegido.

Exposición de endpoints de API

Al obtener datos en Next.js existen dos enfoques principales

Indirecto Fetching implica llamar a una ruta de API de Next.js o a un servicio externo desde el cliente mediante solicitudes HTTP. Estas llamadas son visibles en la pestaña de red del navegador y exponen la URL del endpoint, el payload de la petición y la respuesta.

Directo Fetching ejecuta la obtención de datos dentro de la aplicación, preferentemente en servidor, sin crear un endpoint público, por lo que no aparece en la pestaña de red del navegador.

POC Indirecto Fetching con una ruta API

En este POC la app llama desde el cliente a la ruta de API /api/getPost para consultar Supabase. Observaciones principales

Endpoint expuesto La ruta /api/getPost es pública y las solicitudes POST a /api/getPost con payload como { keyword: valor } y sus respuestas se ven en la pestaña de red del navegador.

Riesgo de seguridad Si no se implementa autenticación, limitación de tasa o validación de entradas, cualquiera puede invocar la ruta, exponiendo datos sensibles o permitiendo abusos como fuerza bruta sobre keywords.

POC Directo Fetching con Server Actions

En este POC la app usa una server action para obtener posts desde Supabase sin crear ninguna ruta pública. Observaciones principales

Sin exposición de endpoint La función getPost se ejecuta en servidor mediante la directiva use server y el App Router de Next.js. No se crea un endpoint público y la operación de fetch no aparece en la pestaña de red del navegador.

Beneficio de seguridad Operaciones sensibles, consultas a Supabase y uso de claves permanecen en servidor, reduciendo el riesgo de exponer detalles de implementación o credenciales.

Por qué el fetching directo oculta endpoints

Cuando una función marcada como server se ejecuta en servidor, Next.js gestiona la llamada internamente y serializa la respuesta en el HTML renderizado o en el bundle JS enviado al cliente. Esto elimina la necesidad de una API HTTP pública, evita que las solicitudes aparezcan en la pestaña de red y mantiene las credenciales y lógica sensibles en el servidor.

Buenas prácticas para ocultar y proteger endpoints

Priorizar obtención server side Utilizar Server Components o server actions para operaciones con datos sensibles.

Asegurar rutas de API Si necesita rutas públicas, aplicar autenticación, rate limiting y validación de entrada.

Ocultar secretos Guardar credenciales de Supabase y otras claves en archivos de entorno como .env.local y usar buenas prácticas de gestión de secretos.

Monitorear exposición Revisar la pestaña de red del navegador y herramientas de auditoría para detectar endpoints o datos visibles.

Usar ISR Para sitios estáticos o contenidos que cambian poco, usar Incremental Static Regeneration para evitar llamadas en tiempo de ejecución innecesarias.

Servicios cloud y seguridad complementaria Para entornos de producción, combinar estas técnicas con servicios cloud como AWS y Azure que ofrecen herramientas de identidad, protecciones de red y gestión de secretos.

Sobre Q2BSTUDIO

Q2BSTUDIO es una empresa de desarrollo de software especializada en aplicaciones a medida y software a medida. Ofrecemos soluciones completas que integran inteligencia artificial, ciberseguridad y servicios cloud AWS y Azure para empresas que buscan robustez, escalabilidad y cumplimiento normativo. Nuestro equipo diseña servicios de inteligencia de negocio y soluciones IA para empresas, incluidos agentes IA y desarrollos con Power BI para transformar datos en decisiones.

Cómo Q2BSTUDIO ayuda con Next.js y seguridad

Implementamos arquitecturas que priorizan el fetching server side cuando corresponde, configuramos rutas de API seguras con autenticación y rate limiting, gestionamos secretos en entornos cloud y realizamos auditorías de red para evitar la exposición de endpoints. Además ofrecemos integración con Supabase, pruebas de penetración y recomendaciones para implementar agentes IA y soluciones de inteligencia de negocio que aprovechan Power BI.

Palabras clave y posicionamiento

En Q2BSTUDIO trabajamos a diario con términos como aplicaciones a medida, software a medida, inteligencia artificial, ciberseguridad, servicios cloud aws y azure, servicios inteligencia de negocio, ia para empresas, agentes IA y power bi para asegurar que nuestros contenidos y soluciones estén alineados con la demanda del mercado y mejoren el posicionamiento web.

Conclusión y llamado a la acción

Ocultar endpoints en Next.js es posible y recomendable cuando se manejan operaciones sensibles. Favorecer el fetching directo con server actions o Server Components mejora la seguridad y reduce la superficie de ataque. Si necesita diseñar una aplicación segura y a medida, integrar IA o mejorar su inteligencia de negocio con Power BI, contacte con Q2BSTUDIO para una consultoría especializada y soluciones adaptadas a su empresa.

UNA PAUSA?

Juga una estona abans de marxar

ELS NOSTRES SERVEIS

Com et podem ajudar

Intel·ligència artificial

Agents d'IA, chatbots i assistents intel·ligents que automatitzen tasques i atenen els teus clients 24/7 per millorar l'eficiència del teu negoci.

Més info

Desenvolupament de programari

Aplicacions web, mòbils i d'escriptori, intranets, e-commerce, SaaS i plataformes de gestió dissenyades per a les necessitats concretes de la teva empresa.

Més info

Serveis cloud

Migració, infraestructura, hosting gestionat, alta disponibilitat i seguretat en Microsoft Azure i Amazon Web Services perquè el teu negoci escali sense límits.

Més info

Ciberseguretat i pentesting

Auditories de seguretat, test d'intrusió (pentesting) i protecció d'aplicacions, dades i infraestructura on-premise i cloud, amb hacking ètic i compliment normatiu.

Més info

Business Intelligence

Quadres de comandament i anàlisi de dades amb Power BI: integrem les teves fonts, dissenyem dashboards i KPIs i convertim les teves dades en decisions.

Més info

Automatització de processos

Automatitzem tasques repetitives i connectem les teves aplicacions amb n8n, Power Automate, Make i RPA, eliminant treball manual i augmentant la productivitat.

Més info

Formació per a empreses

Formem els teus equips en tecnologia amb criteri: desenvolupament web, bases de dades, Git, bones pràctiques i seguretat, automatització amb n8n, intel·ligència artificial per a empreses i creació de solucions d'IA amb Azure AI Foundry.

Més info

Auditoria de codi

Auditem el codi que creguis tu, el teu equip o una IA: et diem què està bé i què millorar, el securitzem i el deixem llest per a producció, web o app.

Més info

Generació d'imatges amb IA

Creem per tu les imatges que necessita el teu negoci amb intel·ligència artificial: producte, xarxes, publicitat, il·lustració i avatars. Tu ens dius què vols i t'ho lliurem llest per fer servir.

Més info

Generació de vídeos amb IA

Creem per tu vídeos amb intel·ligència artificial: promocionals, per a xarxes, presentadors virtuals, doblatge i animacions. Ens comptes la idea i t'ho lliurem muntat i llest per publicar.

Més info

Avatars conversacionals amb IA

Creem avatars conversacionals amb IA —humans digitals amb cara i veu— que atenen els teus clients i equips amb el coneixement de la teva empresa, a la teva web, monitors interactius, WhatsApp o Teams.

Més info

Màrqueting Online i IA

Google Ads, Meta Ads, LinkedIn Ads i posicionament en motors d'IA (GEO/AEO): captem clients i fem que la teva marca aparegui on et busquen, també a ChatGPT, Gemini i Perplexity.

Més info

Tens un projecte en ment?

Explica'ns la teva visió i la convertim en una solució de programari. Sigui quin sigui l'abast, fem realitat la teva idea.

Live Chat