【发布时间】:2020-10-02 06:25:25
【问题描述】:
我在我的 Node.js 开发环境中使用 dotenv 包。我想继续在生产中使用它。使用 .env 文件设置NODE_ENV=production 并运行它可以吗?如果不是 - 请详细说明。
【问题讨论】:
-
是的,这是正确的方法。
标签: node.js environment-variables production dotenv
【发布时间】:2020-10-02 06:25:25
【问题描述】:
这取决于您使用它们的目的。在生产环境中,环境变量通常由您的托管环境设置,因为任何有权访问您的代码库或 git 存储库的人都可以轻松窃取您的哈希盐或 JWT 私钥等信息并使用它来破坏您的应用程序,但如果您不是存储任何敏感信息都很好:)
【讨论】:
-
我想知道他们将如何窃取它,因为 .env 文件应该从存储库中排除。这就像在 /node_modules 旁边添加到 .gitignore 的第一件事,不是吗?
-
我不太确定,但将机密存储在本地文件中并不是一个好习惯。即使您将它们从存储库中排除,任何可以访问您的源代码的人仍然可以使用您的秘密。这就是为什么我们使用环境变量来保存它们。这就是我所知道的。