# Prompt pour construire un proxy API Cloudflare Worker

> Copiez-collez un prompt IA pour construire un Cloudflare Worker qui proxy et limite le débit des appels API externes, ajoute des en-têtes d'authentification et met en cache les réponses.

**Type:** Prompt  
**Tools:** Cursor, Claude Code, Codex, Windsurf  
**Stack:** Cloudflare, TypeScript  
**Difficulty:** medium  
**Updated:** 2026-06-08

---

Utilisez ce prompt pour construire un Cloudflare Worker qui se place devant une API externe,
injecte des en-têtes d'authentification, limite le débit par IP avec Workers KV,
et met en cache les réponses — afin que les clients ne voient jamais votre clé API amont.

## Prompt principal

```txt title="Main Prompt"
You are building a Cloudflare Worker using TypeScript and the Workers runtime (not Node.js).
The Worker will proxy requests to an upstream API (e.g., OpenAI at https://api.openai.com).

Task: create a production-ready API proxy Worker.

Requirements:
- Use `wrangler` v3 for local dev. Scaffold with `bun create cloudflare@latest` and choose
  "Hello World" Worker with TypeScript.
- Upstream URL: read from a Wrangler secret `UPSTREAM_URL` (string).
- Auth: inject `Authorization: Bearer ${env.UPSTREAM_API_KEY}` on every proxied request,
  where `UPSTREAM_API_KEY` is a Wrangler secret. Never expose this header to the client.
- CORS: allow only origins in `env.ALLOWED_ORIGINS` (comma-separated string secret).
  Return a `403` for disallowed origins. Handle preflight OPTIONS requests.
- Rate limiting: use Workers KV binding `RATE_LIMIT_KV`.
  - Key: `rl:${ip}` where ip is `request.headers.get('CF-Connecting-IP')`.
  - Value: request count for the current UTC minute (TTL = 60 s).
  - Limit: 60 requests/minute per IP. Return `429` with `Retry-After: 60` if exceeded.
- Caching: for GET requests, check `caches.default` before proxying upstream. Cache
  successful responses with `Cache-Control: public, max-age=300`.
- Strip the following headers from the upstream response before returning to the client:
  `x-powered-by`, `server`, `cf-ray`.
- Wrangler config: declare the KV namespace binding and all secrets in `wrangler.toml`.
- Do NOT use Node.js APIs (`fs`, `path`, `Buffer`) — Workers runtime only.

Stop and list all planned files before writing code.
```

## Notes d'implémentation

- Les Cloudflare Workers reçoivent une `Request` et retournent une `Response` — évitez les motifs de type `express`.
- `caches.default` est le cache edge de Cloudflare ; il fonctionne uniquement en production. Utilisez `MINIFLARE_CACHE`
  pour les tests en développement local ou simulez le cache.
- `CF-Connecting-IP` est injecté par Cloudflare — il n'est pas falsifiable depuis l'internet public, mais
  testez localement avec une IP de repli codée en dur.
- Les secrets Wrangler sont définis avec `wrangler secret put UPSTREAM_API_KEY` — ne les stockez jamais dans
  `wrangler.toml` ou dans des fichiers `.env` commités.

## Modifications de fichiers attendues

```txt
wrangler.toml                  (new)
src/index.ts                   (new — Worker entrypoint)
src/cors.ts                    (new — CORS helper)
src/rate-limit.ts              (new — KV rate limiter)
package.json                   (new)
tsconfig.json                  (new)
.dev.vars                      (new — local dev secrets, gitignored)
.gitignore                     (edited — add .dev.vars)
```

## Critères d'acceptation

- `wrangler dev` démarre sans erreur et transmet un `GET /` vers l'URL amont.
- Une IP envoyant 61 requêtes en une minute reçoit un code `429` à la 61e requête.
- Une requête provenant d'une origine non autorisée reçoit un code `403`.
- L'en-tête `Authorization` n'apparaît pas dans la réponse ni dans aucun en-tête visible par le client.
- `wrangler deploy` réussit et le Worker est actif sur `workers.dev`.

## Commandes de test

```bash
wrangler dev &
# test normal proxy
curl http://localhost:8787/ -H "Origin: https://myapp.com"
# test CORS rejection
curl http://localhost:8787/ -H "Origin: https://evil.com"
# test rate limit (requires 61 rapid requests)
for i in $(seq 1 62); do curl -s -o /dev/null -w "%{http_code}\n" http://localhost:8787/; done
```

## Erreurs courantes de l'IA

- Utiliser `process.env` au lieu du paramètre `env` passé au gestionnaire `fetch` du Worker.
- Oublier de gérer les requêtes préliminaires `OPTIONS`, ce qui casse le CORS pour les appels POST/PUT.
- Stocker `UPSTREAM_API_KEY` dans `wrangler.toml` comme une variable simple au lieu d'un secret.
- Utiliser `node:buffer` ou d'autres modules internes de Node.js, qui ne sont pas disponibles dans l'environnement d'exécution des Workers.

## Prompt de correction

```txt title="Fix Prompt"
The Worker fails with a runtime error or leaks the API key. Fix in order:
1. Replace `process.env.X` with `env.X` everywhere — Workers use the `env` handler parameter.
2. Add an OPTIONS handler before the proxy logic that returns the CORS headers with a 204 status.
3. Move `UPSTREAM_API_KEY` from `wrangler.toml` [vars] to a secret: `wrangler secret put UPSTREAM_API_KEY`.
Show only the corrected diff.
```