[Một gói mỗi ngày] Giữ bí mật an toàn và sạch sẽ với dotenv

Tại Glinteco, chúng tôi ưu tiên mã sạch, dễ bảo trì và an toàn trong tất cả các dự án của mình. Một gói đơn giản nhưng thiết yếu giúp chúng tôi đạt được điều này là dotenv. Nó cho phép các nhà phát triển quản lý các biến môi trường một cách an toàn và có tổ chức. Bài viết này giải thích dotenv là gì, cách sử dụng nó và tại sao nó có giá trị đối với phát triển Node.js hiện đại.

dotenv là gì

Gói dotenv cho phép ứng dụng của bạn tải các giá trị cấu hình từ tệp .env vào process.env. Phương pháp này giữ cho dữ liệu nhạy cảm và cấu hình cụ thể cho từng môi trường riêng biệt với codebase.

Dưới đây là một ví dụ về tệp .env:

Để tải các giá trị này vào ứng dụng của bạn:

Phương pháp này giúp giữ cho mã của bạn sạch sẽ, bí mật được bảo vệ và cấu hình linh hoạt trên các môi trường khác nhau.

Cài đặt

Để cài đặt dotenv, chạy lệnh sau:

Sau khi cài đặt, tạo một tệp .env trong thư mục gốc của dự án và định nghĩa các biến cấu hình của bạn.

Điều quan trọng là thêm .env vào tệp .gitignore của bạn để tránh đẩy thông tin nhạy cảm lên hệ thống quản lý phiên bản:

Ví dụ thực tế

Hãy xem xét một ứng dụng Express.js. Thay vì mã cứng cổng máy chủ của bạn: const port = 3000;

Bạn có thể viết:

Điều này cho phép bạn thay đổi cổng mà không cần sửa đổi mã nguồn, chỉ cần cập nhật tệp .env.

Đối với triển khai đa môi trường, bạn có thể duy trì các tệp khác nhau như .env.development, .env.staging và .env.production.

Thực tiễn tốt nhất

Dưới đây là một vài khuyến nghị khi làm việc với dotenv:

• Luôn đảm bảo các tệp .env của bạn bị loại trừ khỏi hệ thống quản lý phiên bản.
   

• Sử dụng các giá trị mặc định trong mã ứng dụng của bạn để ngăn chặn các giá trị chưa được xác định:

• Xác thực các biến môi trường của bạn bằng các thư viện xác thực lược đồ như joi hoặc zod.
   

• Để tham chiếu các biến trong các biến khác, hãy xem xét sử dụng dotenv-expand.

Vấn đề thường gặp

Thiếu giá trị process .env

Điều này thường xảy ra khi phương thức config() không được gọi đủ sớm trong mã của bạn. Hãy đảm bảo rằng require('dotenv').config() được thực hiện ở đầu tệp entry của bạn.

Tệp .env không tìm thấy

Hãy chắc chắn rằng tệp .env tồn tại trong thư mục gốc, hoặc chỉ định một đường dẫn tùy chỉnh:

Ưu điểm và hạn chế

Ưu điểm

• Giản lược việc quản lý cấu hình môi trường.
   

• Loại bỏ nguy cơ mã cứng bí mật vào codebase của bạn.
   

• Cho phép tính linh hoạt trên các môi trường phát triển, kiểm thử và sản xuất.
   

• Hoạt động tốt với bất kỳ ứng dụng Node.js nào.

Hạn chế

• Không được thiết kế để quản lý các cấu trúc phân cấp cấu hình phức tạp.
   

• Các nhà phát triển phải kỷ luật về việc loại trừ tệp và xác thực để ngăn chặn rò rỉ ngoài ý muốn.

Kết luận

dotenv là một tiện ích nhỏ nhưng có tác động lớn, thúc đẩy kiến trúc phần mềm tốt hơn, đặc biệt là trong các môi trường đòi hỏi sự tách biệt rõ ràng giữa mã và cấu hình. Tại Glinteco, chúng tôi bao gồm nó trong hầu hết tất cả các dự án Node.js để tăng cường bảo mật, khả năng bảo trì và khả năng mở rộng. Nếu bạn chưa áp dụng chiến lược .env, thì bây giờ là thời điểm thích hợp để bắt đầu.

Đọc thêm

• GitHub: motdotla/dotenv
   

• NPM: dotenv
   

• Ứng dụng Mười hai yếu tố - Cấu hình