データベースのAPIキーとアクセス詳細を保護する

Question

データベースのAPIキーとアクセス詳細を保護するためのベストプラクティスは安全ですか？

Nodejitsus jitsu deployでデプロイしますので、gitに含まれない設定ファイルを用意することを考えています。

私は

module.exports = (app) -> 

    app.configure 'development', -> 

     global.config = 
      dbUrl: 'mongodb://username:password@host:port/closet' 
      foursquare: 
       client_id: 'xxx' 
       client_secret: 'xxx' 
       redirect_uri: 'http://127.0.0.1:3000/account/auth/foursquare/done' 

     return 

    app.configure 'production', -> 

     global.config = 
      dbUrl: 'mongodb://username:password@host:port/closet' 
      foursquare: 
       client_id: 'yyy' 
       client_secret: 'yyy' 
       redirect_uri: 'http://example.com/account/auth/foursquare/done' 

     return 


    return 

Answer 1

は通常、私は何をすべきか、config.jsonに私の設定を保存私の.gitignoreにそれを追加し、NPMがバンドルするかを決定するために.gitignoreを使用しないよう.npmignoreなどがあります。そうすれば、gitはconfig.jsonを追加せずにjitsuをデプロイ時にバンドルします。 booyaaが示唆したように、env変数も動作します。

Answer 2

を.gitignore'dています私たちの現在の設定ファイルには、あなたはjitsu envコマンドを使用して、環境変数としてAPIキー（およびその他の秘密を）保存することができます。次にprocess.envを使用して、node.jsアプリ内でこれらの変数を取得します。