Как спрятать ключ API и все же запустить приложение heroku?

Question

Я пытаюсь понять, как я могу скрыть ключи API и по-прежнему запускать свои проекты Heroku в браузере. Я понимаю, как добавить переменную среды в файл .env, а затем добавить файл .env в файл .gitignore, который успешно скрывает файл, содержащий ключ от GitHub. Однако, когда я пытаюсь получить sh последний коммит из удаленного репозитория, чтобы получить последнюю версию проекта с Heroku, размещенный проект не работает, потому что он не видит ключ, который ему нужно использовать.

Как только я выясню, как заставить размещенный проект Heroku работать с последним коммитом GitHub, который скрывает ключ, я хотел бы выяснить, как настроить ключ для работы только с доменом моего проекта, а не работать с любым другим адресом домена, так как я знаю, что все еще можно найти ключ в исходном коде, если он не скрыт с помощью внутреннего сервера. Я не удосужился узнать о бэкенде, поэтому я хотел бы узнать, как заставить ключ работать только с моим доменом. Спасибо за любые ответы.

Answer 1

Что вы можете сделать, это установить ключ API в качестве переменной конфигурации в разделе настроек на панели инструментов heroku, перейдя в приложение heroku, щелкнув «Настройки», а затем прокрутив вниз настройки vars.

В качестве альтернативы, Вы можете сделать это через heroku cli с помощью heroku config: set. Ознакомьтесь с документами heroku здесь для обеих этих опций

Обновление : Для доступа к config var вы используете тот же синтаксис, что и для других переменных среды.

Например, если вы установите переменную конфигурации с именем API_KEY со значением ABCDEFG, то как вы будете обращаться к ней в своем коде (с реагированием):

var myKey = process.env.API_KEY;