브라우저는 내부 API만 부르고, 외부 API 경계는 서버가 맡는다

외부 API 통합에서 API 라우트는 단순 전달자가 아니다. 비밀 키, CORS, 입력 검증, 응답 가공을 브라우저 밖의 서버 경계로 옮기는 장치다.

Client

/api/weather?city=Seoul

브라우저는 같은 출처의 내부 엔드포인트만 호출한다.

Next API Route

process.env.API_KEY

서버에서 키를 읽고 입력값을 검증한 뒤 외부 API를 호출한다.

External API

weather provider

원본 응답은 필요한 필드만 남긴 JSON으로 가공되어 돌아온다.

문제 직접 호출 API 라우트 경유
API 키 브라우저 번들에 노출될 수 있다. 서버 환경 변수에서만 읽는다.
CORS 브라우저 정책에 막힐 수 있다. 서버에서 호출해 제약을 줄인다.
응답 형태 외부 스키마가 화면 코드에 새어 나온다. 서비스에 필요한 필드만 반환한다.

핵심: 외부 API 호출은 기능 연결이 아니라 서버 경계 설계다.