在前端开发中,我们需要管理项目的敏感信息,比如 API key,数据库密码等等。这些信息不应该被直接存储在代码中或公开版本控制系统中。一个好的解决方案是使用独立的存储库或环境变量。 npm 包 secrets-handler 可以传递这些敏感数据并让你的应用程序安全地使用它们。
安装
在终端中运行以下命令以安装 secrets-handler:
--- ------- ---------------
使用
- 在应用程序中引入 secrets-handler 模块:
----- -------------- - ---------------------------
- 在你的项目中创建一个名为 secrets.yml 的文件,其中包含你的敏感数据,例如:
-------- -------- -------------------- ------------ ------------------------
- 在 your-app.js 文件中加载 secrets.yml 文件,并传递 secrets。可以使用 promises 或回调函数。
通过 promise:
------------------------------------------- -- - ----------------------------- --------------------------------- ---
通过回调函数:
---------------------------------- -------- -- - ----------------------------- --------------------------------- ---
深入
secrets-handler 提供了一个便捷的方式来管理敏感数据,但是如果处理不当,它仍然会造成安全漏洞。以下是一些建议:
不要将 secrets.yml 文件提交到版本控制
将 secrets.yml 文件提交到版本控制可能会导致你的敏感数据泄露。将它保持在本地,或者使用其他适当的方法(如加密)以保护它。
不要在日志中输出 secrets
当你使用 secrets 时,确保不要在日志中输出它们,因为这会使它们变得易于被第三方访问。
记录 secrets 的使用
如果你的项目在多个团队之间共享,或者你不确定其他人是否已经访问了 secrets 文件,那么应该记录谁以及何时访问了 secrets 文件。
设置适当的权限
确保 secrets 文件只有适当的权限,以防止恶意的访问和意外的修改。
示例代码
----- -------------- - --------------------------- ------------------------------------------- -- - ----------------------------- --------------------------------- ---------------- -- - -------------------- --- ---- ---------- ------- ---
来源:JavaScript中文网 ,转载请联系管理员! 本文地址:https://www.javascriptcn.com/post/60057a6981e8991b448eb502