где хранить ключи api в экспресс-узле для Heroku

Question

Я заканчиваю экспресс-приложение узла, где у меня есть ключ API для Sendgrid и Stripe, но я не уверен, как их сохранить в моем приложении, которое будет развернуто на Heroku (также несколько других переменных, которые я хотел бы хранить так же, как пароль db, а что нет). Я видел онлайн много людей, которые использовали process.env, поэтому после некоторого поиска я попытался использовать dotenv npm и даже с некоторыми проблемами со структурой приложения после попытки использовать dotenv для моего ключа sendgrid, я получал ошибку каждый раз.

Мой вопрос: может ли кто-нибудь предоставить некоторые подробные инструкции или способ безопасно хранить ключи API в моем экспресс-приложении узла, которые я буду развертывать в Heroku?

P.S. Я последовал за учебником по внедрению Passport.js для Oauth2 через facebook, google и linkedIn, чтобы пользователи могли легко войти в приложение. Секреты приложения, идентификаторы и обратные вызовы извлекаются из json-файла в конфигурации вызова папки в моем приложении. Является ли эта информация безопасной, по крайней мере, при ее размещении и поиске в приложении? Должен ли я делать что-то подобное для моих ключей sendgrip и strip api? (Рисунок ниже)

Answer 1

Вы можете настроить каталог папок, как это:

config.js

var config = {}; 
//development 
var env = process.env.NODE_ENV || 'development'; 
if(env === 'development'){ 
    config = require('./env/development'); 
}else if (env === 'test'){ 
    config = require('./env/test'); 
} else if(env === 'production'){ 
    config = require('./env/production'); 
} 

module.exports = config; 

development.js

var envFile = __dirname + '/env.json'; 
var jsonfile = require('jsonfile'); 

var envVars = jsonfile.readFileSync(envFile); 

module.exports = { 
    value: envVars["VALUE"] 
}; 

production.js

module.exports = { 
    value: process.env.VALUE 
}; 

test.js

module.exports = { 
    value: 'Some value' 
}; 

Основная идея здесь заключается в том, что каждый разработчик может настроить свои собственные ключи в своем собственном файле env.json , Для производства вы можете хранить их в защищенном файле где-то и загружать их в среду, но хотите, прежде чем запускать приложение. Используя heroku, он упрощает настройку этих переменных среды и сохраняет их для вас. Проверьте это here

Вы также можете опустить любые детали, которые вам могут не понадобиться, как разработка или тестирование.

Edit: Пример

Попробуйте это из командной строки первой, чтобы получить представление о том, что происходит. В этом примере я использую linux. Если вы используете что-либо еще, просто изучите, как устанавливать переменные среды в используемой командной строке.

приложение.JS

var config = require('./config/config'); 
//get value from config 
var value = config.value; 

Установите переменные среды из командной строки Баш

$: VALUE="my value" 
$: NODE_ENV="production" 
$: export VALUE 
$: export NODE_ENV 

запустить приложение

$: node app.js 

или если вы используете НПМ скрипты

$: npm start 

При запуске узла приложения автоматически загружается process.env с каждой переменной среды, определенной в оболочке командной строки. Теперь, если вы используете героку, вы можете перейти по ссылке, которую я опубликовал ранее в этом ответе, и вам не нужно их устанавливать. Просто определите их в интерфейсе heroku, и он загрузит их для вас.