最近做小程序开发, 后台要保存appid和appsecret. 其中appsecret的重要性相当于密码, 要确保安全.

不安全的做法

绝对不要直接将appsecret直接写到代码里. 如果你的代码在git上又是public的, 那你的secret就暴露了.

const APP_SECRET = '123456';

使用环境变量

node中可以通过process.env访问环境变量, 如下.

const APP_SECRET = process.env.APP_SECRET;

想要设置环境变量, Linux/Mac中使用export

export MYAPIKEY=123456
echo $FOO

Windows中使用set

use APP_SECRET=123456
echo %APP_SECRET%

使用dotenv保存环境变量

不想手动设置环境变量的话, 可以用dotenv

npm install -S dotenv

创建一个.env文件, 里面写入

APP_SECRET=123456

然后在代码中写入:

require('dotenv').config();

这行代码会将.env中的变量引入process.env.

记得将.env加入到.gitignore文件中以避免将其提交.

参考

Environment Variables, or Keeping Your Secrets Secret in a Node.js App