使用dotenv的安全nodejs生产环境

Question

通过使用多滕诺夫，我可以在将开发.env文件推送到git存储库之前忽略它，它符合十二因子应用程序配置因子。它防止配置暴露给其他人，特别是开放源码项目。

但是，当我将它部署到生产中时，无论是使用云部署还是使用docker，我都被困住了。

我怎样才能包括这个文件？我应该把文件保存到保险库或什么地方吗？

请帮助我理解如何保护我的部署环境。

Answer 1

服务器环境(docker或其他)需要配置自己的环境变量，而不是开发变量。在您为应用程序配置的默认值中，任何值都是相同的，因此即使没有设置变量，它们也具有该值。

Answer 2

您可以使用文件传输协议，如filezilla或赛博鸭，并将文件传输到生产服务器环境。确保发送到服务器的.env文件包含生产数据库的凭据，而不是开发数据库的凭据，等等。您也可以将环境变量添加到远程服务器的.env或.bashrc文件中，但与.env文件相比，这可能是不可取的。只要只有您可以访问远程服务器(docker、heroku、aws等)，您的凭据就应该是安全的。永远不要共享您的.pem文件。