Ocultar Endpoints de API en Next.js

Guía para ocultar endpoints en Next.js: compara indirecto y directo fetching, usa Server Actions con Supabase y buenas prácticas de seguridad para APIs.

24 ago 2025 • 4 min read • Q2BSTUDIO Team

Inteligencia-Artificial-

En Next.js es fundamental proteger datos sensibles y evitar la exposición de endpoints de API para construir aplicaciones web seguras. La forma en que obtienes datos, directa o indirectamente, determina si las llamadas aparecen en la pestaña de red del navegador. A continuación se presenta una guía práctica y ejemplos de concepto que comparan fetching directo e indirecto y muestran cómo ocultar endpoints en Next.js, apoyada en un proyecto que usa Next.js 15.5.0, React 19.1.0 y Supabase.

Estructura y preparación del proyecto

El ejemplo parte de un proyecto Next.js que utiliza una tabla de Supabase llamada post con columnas post y keyword para almacenar y consultar contenido según palabras clave seleccionadas por el usuario. La idea es demostrar cómo obtener posts que coinciden con una keyword y cómo varía la exposición del endpoint según el método elegido.

Exposición de endpoints de API

Al obtener datos en Next.js existen dos enfoques principales

Indirecto Fetching implica llamar a una ruta de API de Next.js o a un servicio externo desde el cliente mediante solicitudes HTTP. Estas llamadas son visibles en la pestaña de red del navegador y exponen la URL del endpoint, el payload de la petición y la respuesta.

Directo Fetching ejecuta la obtención de datos dentro de la aplicación, preferentemente en servidor, sin crear un endpoint público, por lo que no aparece en la pestaña de red del navegador.

POC Indirecto Fetching con una ruta API

En este POC la app llama desde el cliente a la ruta de API /api/getPost para consultar Supabase. Observaciones principales

Endpoint expuesto La ruta /api/getPost es pública y las solicitudes POST a /api/getPost con payload como { keyword: valor } y sus respuestas se ven en la pestaña de red del navegador.

Riesgo de seguridad Si no se implementa autenticación, limitación de tasa o validación de entradas, cualquiera puede invocar la ruta, exponiendo datos sensibles o permitiendo abusos como fuerza bruta sobre keywords.

POC Directo Fetching con Server Actions

En este POC la app usa una server action para obtener posts desde Supabase sin crear ninguna ruta pública. Observaciones principales

Sin exposición de endpoint La función getPost se ejecuta en servidor mediante la directiva use server y el App Router de Next.js. No se crea un endpoint público y la operación de fetch no aparece en la pestaña de red del navegador.

Beneficio de seguridad Operaciones sensibles, consultas a Supabase y uso de claves permanecen en servidor, reduciendo el riesgo de exponer detalles de implementación o credenciales.

Por qué el fetching directo oculta endpoints

Cuando una función marcada como server se ejecuta en servidor, Next.js gestiona la llamada internamente y serializa la respuesta en el HTML renderizado o en el bundle JS enviado al cliente. Esto elimina la necesidad de una API HTTP pública, evita que las solicitudes aparezcan en la pestaña de red y mantiene las credenciales y lógica sensibles en el servidor.

Buenas prácticas para ocultar y proteger endpoints

Priorizar obtención server side Utilizar Server Components o server actions para operaciones con datos sensibles.

Asegurar rutas de API Si necesita rutas públicas, aplicar autenticación, rate limiting y validación de entrada.

Ocultar secretos Guardar credenciales de Supabase y otras claves en archivos de entorno como .env.local y usar buenas prácticas de gestión de secretos.

Monitorear exposición Revisar la pestaña de red del navegador y herramientas de auditoría para detectar endpoints o datos visibles.

Usar ISR Para sitios estáticos o contenidos que cambian poco, usar Incremental Static Regeneration para evitar llamadas en tiempo de ejecución innecesarias.

Servicios cloud y seguridad complementaria Para entornos de producción, combinar estas técnicas con servicios cloud como AWS y Azure que ofrecen herramientas de identidad, protecciones de red y gestión de secretos.

Sobre Q2BSTUDIO

Q2BSTUDIO es una empresa de desarrollo de software especializada en aplicaciones a medida y software a medida. Ofrecemos soluciones completas que integran inteligencia artificial, ciberseguridad y servicios cloud AWS y Azure para empresas que buscan robustez, escalabilidad y cumplimiento normativo. Nuestro equipo diseña servicios de inteligencia de negocio y soluciones IA para empresas, incluidos agentes IA y desarrollos con Power BI para transformar datos en decisiones.

Cómo Q2BSTUDIO ayuda con Next.js y seguridad

Implementamos arquitecturas que priorizan el fetching server side cuando corresponde, configuramos rutas de API seguras con autenticación y rate limiting, gestionamos secretos en entornos cloud y realizamos auditorías de red para evitar la exposición de endpoints. Además ofrecemos integración con Supabase, pruebas de penetración y recomendaciones para implementar agentes IA y soluciones de inteligencia de negocio que aprovechan Power BI.

Palabras clave y posicionamiento

En Q2BSTUDIO trabajamos a diario con términos como aplicaciones a medida, software a medida, inteligencia artificial, ciberseguridad, servicios cloud aws y azure, servicios inteligencia de negocio, ia para empresas, agentes IA y power bi para asegurar que nuestros contenidos y soluciones estén alineados con la demanda del mercado y mejoren el posicionamiento web.

Conclusión y llamado a la acción

Ocultar endpoints en Next.js es posible y recomendable cuando se manejan operaciones sensibles. Favorecer el fetching directo con server actions o Server Components mejora la seguridad y reduce la superficie de ataque. Si necesita diseñar una aplicación segura y a medida, integrar IA o mejorar su inteligencia de negocio con Power BI, contacte con Q2BSTUDIO para una consultoría especializada y soluciones adaptadas a su empresa.

A BREAK?

Play for a moment before you go

OUR SERVICES

How we can help you

Artificial intelligence

AI agents, chatbots, and intelligent assistants that automate tasks and serve your customers 24/7 to improve the efficiency of your business.

More info

Software Development

Web, mobile, and desktop applications, intranets, e-commerce, SaaS, and management platforms designed for your company's specific needs.

More info

Cloud services

Migration, infrastructure, managed hosting, high availability, and security on Microsoft Azure and Amazon Web Services to help your business scale without limits.

More info

Cybersecurity and pentesting

Security audits, penetration testing and protection of applications, data and infrastructure on-premise and cloud, with ethical hacking and regulatory compliance.

More info

Business Intelligence

Dashboards and data analysis with Power BI: we integrate your sources, design dashboards and KPIs and turn your data into decisions.

More info

Process automation

We automate repetitive tasks and connect your applications with n8n, Power Automate, Make, and RPA, eliminating manual work and increasing productivity.

More info

Training for Companies

We train your teams in technology with criteria: web development, databases, Git, best practices and security, automation with n8n, artificial intelligence for companies and creation of AI solutions with Azure AI Foundry.

More info

Code Auditing

We audit the code that you, your team or an AI create: we tell you what is good and what to improve, we secure it and make it ready for production, web or app.

More info

AI Image Generation

We create for you the images that your business needs with artificial intelligence: product, networks, advertising, illustration and avatars. You tell us what you want and we deliver it ready to use.

More info

AI Video Generation

We create videos with artificial intelligence for you: promotional, networking, virtual presenters, dubbing and animations. You tell us the idea and we will deliver it assembled and ready to publish.

More info

AI Conversational Avatars

We create conversational avatars with AI – digital humans with a face and voice – that serve your customers and teams with the knowledge of your company, on your website, interactive monitors, WhatsApp or Teams.

More info

Online Marketing and AI

Google Ads, Meta Ads, LinkedIn Ads and AI Engine Positioning (GEO/AEO): we attract customers and make your brand appear where they search for you, also on ChatGPT, Gemini and Perplexity.

More info

Do you have a project in mind?

Tell us your vision and we'll turn it into a software solution. Whatever the scope, we make your idea real.

Live Chat