Plugins können API-Routen für ihre Admin-Oberfläche und externe Integrationen bereitstellen. Routen werden unter /_emdash/api/plugins/<slug>/<route-name> gemountet (der <slug> ist das slug-Feld aus emdash-plugin.jsonc — zur Laufzeit als ctx.plugin.id verfügbar) und laufen innerhalb der Sandbox-Laufzeit mit demselben PluginContext, den auch Hooks erhalten.
Diese Seite behandelt sandboxed Plugins. Die API-Oberfläche für native Plugins ist dieselbe; der einzige Unterschied ist die Handler-Signatur — siehe den Hinweis in Native Plugins für Details.
Routen definieren
Deklarieren Sie Routen im Default-Export von src/plugin.ts:
import type { SandboxedPlugin } from "emdash/plugin";
import { z } from "astro/zod";
export default {
routes: {
status: {
handler: async (_routeCtx, ctx) => {
return { ok: true, plugin: ctx.plugin.id };
},
},
submissions: {
input: z.object({
formId: z.string().optional(),
limit: z.number().default(50),
cursor: z.string().optional(),
}),
handler: async (routeCtx, ctx) => {
const { formId, limit, cursor } = routeCtx.input;
const result = await ctx.storage.submissions.query({
where: formId ? { formId } : undefined,
orderBy: { createdAt: "desc" },
limit,
cursor,
});
return result;
},
},
},
} satisfies SandboxedPlugin;satisfies SandboxedPlugin leitet routeCtx und ctx ab — keine Parameter-Annotationen erforderlich. Sandboxed Route-Handler nehmen zwei Argumente: (routeCtx, ctx).
routeCtxträgt request-förmige Daten:{ input, request, requestMeta }.ctxist derselbePluginContext, den Sie innerhalb von Hooks erhalten —ctx.storage,ctx.kv,ctx.content,ctx.http,ctx.log, etc.
Routen-URLs
Routen werden unter /_emdash/api/plugins/<slug>/<route-name> gemountet. Routennamen können Schrägstriche für verschachtelte Pfade enthalten.
| Plugin-ID | Routenname | URL |
|---|---|---|
forms | status | /_emdash/api/plugins/forms/status |
forms | submissions | /_emdash/api/plugins/forms/submissions |
seo | settings/save | /_emdash/api/plugins/seo/settings/save |
analytics | events/recent | /_emdash/api/plugins/analytics/events/recent |
Authentifizierung und CSRF
Plugin-Routen sind standardmäßig authentifiziert. Der Dispatcher erfordert eine Session (oder ein Token mit dem admin-Scope), bevor er Ihren Handler aufruft:
- Lesemethoden (
GET,HEAD,OPTIONS) erfordern dieplugins:read-Berechtigung. - Schreibmethoden (
POST,PUT,PATCH,DELETE) erfordernplugins:manage. - Zustandsändernde Methoden auf privaten Routen erfordern auch den
X-EmDash-Request: 1CSRF-Header (derusePluginAPI()-Hook der Admin-Oberfläche sendet ihn automatisch; Cookie-authentifizierte externe Aufrufer müssen ihn selbst setzen; Token-authentifizierte Requests sind ausgenommen).
Um eine Route von Auth und CSRF auszunehmen, markieren Sie sie mit public: true:
routes: {
track: {
public: true,
input: z.object({ event: z.string() }),
handler: async (routeCtx, ctx) => {
ctx.log.info("Tracked", { event: routeCtx.input.event });
return { ok: true };
},
},
},Eingabevalidierung
input akzeptiert ein Zod-Schema. Der Dispatcher parst den Request-Body (POST/PUT/PATCH) oder Query-String (GET/DELETE), validiert ihn und übergibt das getypte Ergebnis an Ihren Handler als routeCtx.input. Ungültige Eingaben geben einen 400-Fehler zurück, bevor Ihr Handler läuft.
routes: {
create: {
input: z.object({
title: z.string().min(1).max(200),
email: z.string().email(),
priority: z.enum(["low", "medium", "high"]).default("medium"),
tags: z.array(z.string()).optional(),
}),
handler: async (routeCtx, ctx) => {
const { title, email, priority, tags } = routeCtx.input;
await ctx.storage.items.put(`item_${Date.now()}`, {
title,
email,
priority,
tags: tags ?? [],
createdAt: new Date().toISOString(),
});
return { success: true };
},
},
},Rückgabewerte
Geben Sie einen beliebigen JSON-serialisierbaren Wert zurück. Der Dispatcher verpackt ihn in EmDashs Standard-Envelope ({ success: true, data: <your value> }) und liefert ihn als application/json.
return { id: "abc", count: 42 }; // wrapped to { success: true, data: { id, count } }
return [1, 2, 3]; // wrapped to { success: true, data: [1, 2, 3] }Fehler
Werfen Sie, um eine Fehlerantwort zurückzugeben. Alles, was kein bekannter Plugin-Fehler ist, gibt eine generische Nachricht zurück — interne Exceptions werden maskiert, anstatt Stack-Traces oder Datenbankfehler zu leaken:
handler: async (routeCtx, ctx) => {
const item = await ctx.storage.items.get(routeCtx.input.id);
if (!item) {
throw new Error("Item not found");
}
return item;
},Für einen spezifischen Statuscode werfen Sie eine Response:
handler: async (routeCtx, ctx) => {
const item = await ctx.storage.items.get(routeCtx.input.id);
if (!item) {
throw new Response(JSON.stringify({ error: "Not found" }), {
status: 404,
headers: { "Content-Type": "application/json" },
});
}
return item;
},HTTP-Methoden
Routen antworten auf alle Methoden. Verzweigen Sie auf routeCtx.request.method, wenn Sie methodenspezifisches Verhalten benötigen:
routes: {
item: {
input: z.object({ id: z.string() }),
handler: async (routeCtx, ctx) => {
const { id } = routeCtx.input;
switch (routeCtx.request.method) {
case "GET":
return await ctx.storage.items.get(id);
case "DELETE":
await ctx.storage.items.delete(id);
return { deleted: true };
default:
throw new Response("Method not allowed", { status: 405 });
}
},
},
},Zugriff auf den Request
routeCtx.request ist ein SandboxedRequest: ein portabler { url, method, headers }-Record, der sich in-process und innerhalb eines Isolates identisch verhält. headers ist ein Record<string, string>, indiziert nach Kleinbuchstaben-Header-Namen — indizieren Sie ihn nach dem Kleinbuchstaben-Namen oder iterieren Sie mit Object.entries. url ist ein String, sodass new URL(request.url) Query-Parameter parst. routeCtx.requestMeta trägt IP, User-Agent und Geo-Daten, die plattformübergreifend normalisiert sind, wenn verfügbar.
handler: async (routeCtx, ctx) => {
const { request, requestMeta } = routeCtx;
const auth = request.headers["authorization"]; // lowercased key, no .get()
const url = new URL(request.url);
const page = url.searchParams.get("page");
ctx.log.info("Request", { meta: requestMeta });
if (request.method !== "POST") {
throw new Response("POST required", { status: 405 });
}
},Häufige Muster
Einstellungen über KV
Sandboxed Plugins lesen und schreiben Einstellungen über den KV-Store, konventionell unter einem settings:-Präfix. Das automatisch generierte settingsSchema-Formular ist nur für native Plugins — für sandboxed Plugins stellen Sie das Lesen/Schreiben über Routen bereit und rendern das Formular in Block Kit.
routes: {
settings: {
handler: async (_routeCtx, ctx) => {
const settings = await ctx.kv.list("settings:");
const result: Record<string, unknown> = {};
for (const entry of settings) {
result[entry.key.replace("settings:", "")] = entry.value;
}
return result;
},
},
"settings/save": {
input: z.object({
enabled: z.boolean().optional(),
apiKey: z.string().optional(),
maxItems: z.number().optional(),
}),
handler: async (routeCtx, ctx) => {
for (const [key, value] of Object.entries(routeCtx.input)) {
if (value !== undefined) {
await ctx.kv.set(`settings:${key}`, value);
}
}
return { success: true };
},
},
},Paginierte Liste
Geben Sie cursor-basierte Paginierung von einer Storage-Abfrage zurück — die Antwortform entspricht dem, was der Rest von EmDash verwendet:
routes: {
list: {
input: z.object({
limit: z.number().min(1).max(100).default(50),
cursor: z.string().optional(),
status: z.string().optional(),
}),
handler: async (routeCtx, ctx) => {
const { limit, cursor, status } = routeCtx.input;
const result = await ctx.storage.items.query({
where: status ? { status } : undefined,
orderBy: { createdAt: "desc" },
limit,
cursor,
});
return {
items: result.items.map((item) => ({ id: item.id, ...item.data })),
cursor: result.cursor,
hasMore: result.hasMore,
};
},
},
},Externe API-Proxy
Proxyen Sie einen Request an einen externen Service über ctx.http (erfordert network:request-Capability und einen Eintrag in allowedHosts):
routes: {
forecast: {
input: z.object({ city: z.string() }),
handler: async (routeCtx, ctx) => {
if (!ctx.http) throw new Error("Network capability not granted");
const apiKey = await ctx.kv.get<string>("settings:apiKey");
if (!apiKey) throw new Error("API key not configured");
const response = await ctx.http.fetch(
`https://api.weather.example.com/forecast?city=${routeCtx.input.city}`,
{ headers: { "X-API-Key": apiKey } },
);
if (!response.ok) {
throw new Error(`Weather API error: ${response.status}`);
}
return response.json();
},
},
},Routen von der Admin-Oberfläche aufrufen
Verwenden Sie usePluginAPI() aus dem Admin-Paket — es fügt den X-EmDash-Request CSRF-Header und das Plugin-ID-Präfix automatisch hinzu:
import { usePluginAPI } from "@emdash-cms/admin";
function SettingsPage() {
const api = usePluginAPI();
const handleSave = async (settings) => {
await api.post("settings/save", settings);
};
const loadSettings = async () => {
return api.get("settings");
};
}Routen extern aufrufen
Öffentliche Routen sind direkt aufrufbar:
curl -X POST https://your-site.com/_emdash/api/plugins/forms/track \
-H "Content-Type: application/json" \
-d '{"event": "pageview"}'Private Routen benötigen Session-Credentials oder ein API-Token mit dem admin-Scope:
curl -X POST https://your-site.com/_emdash/api/plugins/forms/create \
-H "Authorization: Bearer <token>" \
-H "Content-Type: application/json" \
-d '{"title": "Hello", "email": "user@example.com"}'Routen-Kontext-Referenz
// Was sandboxed Route-Handler als ihre zwei Argumente erhalten
interface SandboxedRequest {
url: string;
method: string;
headers: Record<string, string>; // lowercased keys
}
interface SandboxedRouteContext {
input: unknown; // narrow with the `input` Zod schema at the route level
request: SandboxedRequest;
requestMeta?: unknown;
}
interface PluginContext {
plugin: { id: string; version: string };
storage: PluginStorage;
kv: KVAccess;
log: LogAccess;
site: SiteInfo;
url(path: string): string;
cron?: CronAccess;
content?: ContentAccess; // when content:read or content:write declared
media?: MediaAccess; // when media:read or media:write declared
http?: HttpAccess; // when network:request declared
users?: UserAccess; // when users:read declared
email?: EmailAccess; // when email:send declared and provider configured
}Native Plugins erhalten ein einzelnes RouteContext-Argument, das die beiden kombiniert — siehe Native Plugins erstellen, wenn Sie diesen Weg gehen.