Node.js: 處理機密資訊

如何使用 Node.js 處理機密資訊

👋 歡迎來到 Stackhero 文檔!

Stackhero 提供即用型的 Node.js 雲端 解決方案,帶來多項優勢,包括:

  • 只需一個簡單的 git push,即可在幾秒鐘內 部署您的應用程式。
  • 使用您自己的域名,並享受 HTTPS 證書的自動配置以增強安全性。
  • 享受自動備份一鍵更新,以及簡單、透明且可預測的定價,讓您高枕無憂。
  • 憑藉專用的私人 VM,獲得最佳的性能和強大的安全性

節省時間簡化您的生活:只需 5 分鐘即可嘗試 Stackhero 的 Node.js 雲端託管 解決方案!

當您的 Node.js 專案需要與資料庫、物件儲存(object storage)或外部 API 互動時,安全地儲存帳號、密碼或 Token 等認證資訊就變得非常重要。這些認證資訊通常被稱為「機密資訊(secrets)」。妥善保護您的機密資訊,對於維護應用程式的安全性至關重要。

您可能會想嘗試的做法

一開始,您可能會考慮直接將認證資訊寫在程式碼裡,例如:

// 連接到 PostgreSQL 資料庫
const pg = new Client({
  host: '<XXXXXX>.stackhero-network.com',
  user: 'admin',
  password: 'myPassword',
  database: 'admin'
});

然而,這種做法並不安全。因為您的機密資訊很容易被提交到 Git 儲存庫,任何有權限的人都能看到。即使您認為只有自己能存取,這就像把密碼寫在便利貼上貼在螢幕上,然後希望沒有人會注意到一樣。最終這可能導致嚴重的安全問題。

此外,將機密資訊硬編碼在程式碼中,也會讓您難以順利管理不同的環境,例如開發與正式環境。

使用環境變數

業界普遍推薦的最佳實踐,是將機密資訊存放在環境變數(environment variables)中。

環境變數是在程式碼之外定義的,並且會在 Node.js 啟動前設定。這樣一來,所有機密資訊都可以透過環境變數來管理,而不會被硬編碼在應用程式裡。

定義您的第一個環境變數

您可以在啟動 Node.js 指令時設定環境變數,例如:

MY_PASSWORD=myDevelopmentPassword node app.js

這個指令會建立一個名為 MY_PASSWORD 的變數,值為 myDevelopmentPassword。格式很簡單:<KEY>=<value>

依照慣例,環境變數名稱會使用全大寫。請注意,環境變數只能儲存字串,無法存放陣列或物件。

讀取環境變數

在您的 app.js 檔案中,可以透過 process.env 來存取環境變數,例如:

console.log(process.env.MY_PASSWORD);

這會顯示 myDevelopmentPassword

現在,您的密碼已經從程式碼中分離出來,這有助於避免它被意外提交到 Git 儲存庫。

如果您在正式環境中使用 Stackhero,可以直接在 Node.js 服務的管理後台新增一個名為 MY_PASSWORD、值為 myProductionPassword 的環境變數。這樣可以讓不同環境之間的切換更加順暢。

Stackhero 控制台上的 Node.js 設定範例Stackhero 控制台上的 Node.js 設定範例

透過這種方式,您的密碼不再儲存在程式碼中,並且可以輕鬆為開發與正式環境分別設定不同的認證資訊。

使用 dotenv 套件

在實際專案中,您通常需要管理多個機密資訊。例如,連接資料庫時,可能需要主機名稱、使用者名稱和密碼。

管理單一機密資訊很簡單,但如果要同時處理多個,啟動指令就會變得很複雜。例如:

POSTGRESQL_HOST=<XXXXXX>.stackhero-network.com POSTGRESQL_USER=admin POSTGRESQL_PASSWORD=myPassword node app.js

這樣很快就會變得難以閱讀與維護。在正式環境中,您可能還需要更多變數,這種做法就不太實用。

這時候,dotenv 套件就能派上用場。

使用 dotenv,您可以將機密資訊存放在一個獨立的 .env 檔案中。

首先,請安裝 dotenv 套件:

npm install dotenv

接著,建立一個 .env 檔案來存放您的變數:

POSTGRESQL_HOST=<XXXXXX>.stackhero-network.com
POSTGRESQL_USER=admin
POSTGRESQL_PASSWORD=myPassword

為了保護您的機密資訊,請確保 .env 檔案沒有被加入到 Git 儲存庫。您可以將它加入 .gitignore 檔案:

echo ".env" >> .gitignore

最後,在 app.js 檔案的最上方載入 dotenv 套件:

require("dotenv").config();

這樣設定後,當您在開發機器上用 node app.js 啟動應用程式時,dotenv 會自動讀取 .env 檔案。在正式環境中,則不需要 .env 檔案,環境變數會直接從 Node.js 服務的設定中取得,您可以透過 Stackhero 控制台進行管理。

實作範例

理論說明完畢,接下來我們來看一個實際範例。

您可以在這裡找到完整且可運作的範例:https://github.com/stackhero-io/dotenvWithNodejs

透過這些技巧,您可以靈活且安全地管理機密資訊,讓整個流程既簡單又高效。

Node.js 的其他文章

  1. 快速開始
    學習如何在 Stackhero 上快速且安全地部署 Node.js 服務
  2. Cron 工作
    在 Node.js 中使用 cron 工作有效地自動化任務
  3. 使用 GitHub Actions 部署
    學習如何透過 GitHub Actions 部署您的 Node.js 程式碼