2012-12-31 142 views
3

我把Filepicker.io連接到我的流星應用程序上傳文件。該服務有一個API密鑰(當然)他們建議保密。我在github上發現了一些其他示例應用程序,其中filepicker機密在客戶機代碼中的普通站點中。這似乎有點不穩定。即使它不在公共庫中,因爲它是在客戶端代碼中指定的,所以我可以使用Javascript控制檯從應用程序中獲取密鑰(如果需要的話)。部署Meteor應用程序時,保護密鑰的最佳方式是什麼?

我不知道有什麼方法可以將應用程序(比如heroku配置文件)與祕密一起存放,這樣可以很容易地保留這個關鍵祕密。

我目前的計劃是將密鑰放入數據庫並鎖定該模型,以便它只能從服務器代碼中獲得。有一種更簡單的方法嗎?

感謝您的指點。

回答

7

devel分支(不久將在0.5.3)有一個新的Meteor.settings功能:如果你傳遞一個JSON文件作爲參數傳遞給meteor runmeteor deploy,對象將可在服務器上Meteor.settings。 (使用meteor deploy時,這是持久的,因此您不必每次都記住通過它。)

(如果您使用自己的主機環境,則可以通過以下方式傳遞JSON文件的內容: METEOR_SETTINGS環境變量。)

使用數據庫也起作用 - 這就是流星帳戶如何存儲OAuth帳戶的配置。我個人認爲Meteor.settings最適合應用程序配置,而數據庫最適合打包配置,因爲它允許軟件包在第一次運行時顯示交互式配置小部件,如accounts-ui

相關問題