Klucze do API i deployment

Question

Cześć,

Sytuacja wygląda tak, że mam aplikacje w której mam klucz do API w pliku .env i z niego pobieram ten klucz do miejsca gdzie go wykorzystuje. Wszystko działa okej na localhost ale co mam zrobić żeby już na postawionej aplikacji takie klucze działały? Gdzie je mam trzymać żeby było bezpiecznie?

Answer 1

Np ustawić to jako zmienną środowiskową/konfiguracyjną w projekcie.
Jak np robisz deploy przez HEROKU to - oni mają gotowe narzędzia do tego https://devcenter.heroku.com/articles/config-vars
Kontener dokera też daje takie możliwości, genereralnie "sesnitive" data nie powinny być trzymane w plikach źródłowych tym bardziej w source-tree
https://docs.docker.com/engine/swarm/secrets/

Ewentualnie -> ogranicz się do pliku w którym trzymasz takie dane, nie udostepniaj tego pliku otwarcie w źródłach i zabezpiecz jako plik -> którego np nie można edytować odczytać ... bez uprawnienia

Comments

A co jeżeli chciałbym dodać do swojej już postawionej strony dodać cms np. datocms i też muszę gdzies schować klucz? tez muszę użyć dockera?