在服务器上存储我自己的访问令牌/机密的正确方式

Question

学习前端开发时，信条是永远不要将密码存储在客户端--只存储在服务器/db上。所以现在我正在构建API并使用像Twitter这样的第三方，我意识到由于我使用的是Github，后来推送到Heroku，我在服务器上没有地方来存储我的令牌/秘密(因为Heroku是从Github中提取的，所以我不能添加到.gitignore中)。

我有两个解决方案：

1)存储在数据库中。这种选择对于较小的应用程序来说似乎微不足道，但却是可伸缩性的。2)对服务器上的信息进行加密并上传。

当你有敏感信息，并从Github推送到Heroku时，最佳实践是什么？

Answer 1

这里的答案是(对于找到这个线程的任何人)：使用Heroku环境变量。

Heroku鼓励您在环境变量中存储任何特定于应用程序的敏感信息。您可以通过Heroku命令行工具或Heroku仪表板设置这些变量。

如果你想在命令行上设置Heroku环境变量，你可以这样做：

$ heroku config:set MY_VARIABLE=my_value

它将存储环境变量。

由于您使用的是Node.js，因此您可以通过执行以下操作在Heroku代码中读取这些变量的值：

console.log(process.env.MY_VARIABLE);

在Node中，您可以通过process.env作为object =)访问环境变量。