如何在 nuxt 项目上将标头添加到 axios 以进行 hmac 身份验证

Question

有一个远程 api，它需要 hmac sha256 密钥，该密钥由每个请求的密钥和时间戳生成。

不应在 Nuxt 项目的客户端代码中看到此 hmac 标头生成。并且请求必须在服务器端使用 hmac 标头进行。例如，我将向 api 发送登录帖子请求。我将发送密码、电子邮件和 hmac 密钥作为标题。但是必须为客户端隐藏此标头生成代码。并且发布请求应该在服务器端完成。不是客户端。

Api 需要这个 hmac 密钥头。要生成 hmac 密钥，您需要 api 提供者提供给我们的密钥。您可以看到 hmac 生成如何在 this link 上工作。我们将放置一些数据和时间戳。所以 api 解密密钥并检查时间戳。如果时间戳增量超过 20 秒，则请求不会被 api 接受。

如何将此标头添加到 axios 仅用于 axios 请求的服务器端调用，并且不应在客户端代码上看到此生成脚本？

X-HMAC-TOKEN: 'hmac sha256 key generated with timestamp and secret key. and this generation script should not seen on client code'

Here is an example hmac authentication example on api side.

Answer 1

似乎唯一的解决方案看起来像使用服务器中间件并且可能表达。

这是一个在github 上共享的示例代码。我只是想在这里为所有有这个问题的人分享代码

首先你应该在 /api 文件夹 /api/remote-api.js 中创建服务器中间件

// remote-api.js
const path = require('path');
const bodyParser = require('body-parser');
const app = require('express')();
const axios = require('axios');
const cors = require('cors');

require('dotenv').config({ path: path.resolve(process.cwd(), '.env.server') });

app.use(cors());
app.use(bodyParser.json());

app.get('/remote-api', (req, res) => {
  req.body.sha256_key = "whatever you specify"
  req.body.timestamp ="whatever you specify"
  axios
    .get(process.env.REMOTE_API_URL}, { 
      params: {
        term: req.query.q
      }
    })
    .then((response) => {
      res.json({ data: response.data });
    })
    .catch((error) => {
      res.json(error);
    });
});

module.exports = app;

那么你应该在 nuxt.config.js 中指定这个文件

serverMiddleware: ['~/api/remote-api'],