я и спрашиваю - чем? разницы никакой
Не слушай никого! Храни в constants. Само слово дает бонус +3 к защите и +7 к спокойствию
безопаснее в env-файле. Ну то есть как в нем? когда пуллишь сорцы на github, то все видят и апи, к которому обращаешься, и логин, с которым логинишься (и могут залогиниться вместо тебя и выжрать всю твою квоту). Увидеть их легко, т к сорцы выглядят красивее, чем их сборка. Соответственно, хранить эти секреты не вариант ни в коде, ни в отдельно вынесенных переменных Если хранить в env-файле в сорцах и запуллить на github, то та же самая история - все хорошо видно, можно пользоваться. С env-файлом и с отдельно вынесенными константами в самом коде используется обращение к переменным, но не захардкождены их значения - это лучше. Но! С env-файлом переменные могут прилетать не только оттуда, но и из среды сборки. Вот не уверен, перебивает ли env-файл их нет? Если перебивает, то отличий никаких, тоже не вариант. Если не перебивает, то env-файл - просто некий образец какого формата должны быть переменные, но не содержащий секреты. Сами же секреты можно разместить в среде сборки, которая и произведет сборку. В github, например, это github-actions, и в настройках к ним можно указать эти секреты. Они остаются в среде сборки и не попадают в сорцы, откуда их никто не возьмет. При сборке все равно все собирается с секретом. Но это будет все одним файлом и в минифицированном виде, и нужно будет потрудиться, чтобы вычленить их оттуда. Но куда безопаснее, чем хранить в красиво оформленных сорцах
Намудрил ты с секретами. На фронте не бывает секретов, так что прятать их - бессмысленно. Это просто данные/ Для бэка - да, Github Actions секреты и деплой на сервер, где их никто не увидит
я про это и говорю: на фронт секрет все равно прилетает. Не увидит же их никто в сорцах на бэке
Обсуждают сегодня