精读《如何在 nodejs 使用环境变量》

1 引言

本期精读的文章是：如何在 nodejs 使用环境变量。

介绍了开发与生产环境如何管理环境变量。

这里环境变量指的是数据库密码等重要数据，而不是指普通变量传参。

2 概述

环境变量历史悠久，在运行第一行 JAVA 代码以前，你就得将环境变量设置好。

可问题是，系统变量并不易用，好比结尾是否要使用分号，JAVA_HOME 与 PATH 在哪些程序中功能相同？并且与操做系统绑定，在操做系统级别设置的变量，给 JAVA 级别的程序用还好，但用来存数据库密码就不合适了。

在 Node 中，咱们怎样使用环境变量呢？做者给出了以下的建议：

经过命令行传递

PORT=65534 node bin/www

这是最基本、最经常使用的方式，但是当变量数量过多，难免以为很崩溃：

PORT=65534 DB_CONN="mongodb://react-cosmos-db:swQOhAsVjfHx3Q9VXh29T9U8xQNVGQ78lEQaL6yMNq3rOSA1WhUXHTOcmDf38Q8rg14NHtQLcUuMA==@react-cosmos-db.documents.azure.com:19373/?ssl=true&replicaSet=globaldb" SECRET_KEY=b6264fca-8adf-457f-a94f-5a4b0d1ca2b9  node bin/www

做者提到，这种代码没有拓展性。做者认为，对工程师来讲，可拓展性甚至比能正确运行更为重要。

使用 .env 文件

很显然，命令行写不下了就写到文件里：

PORT=65534
DB_CONN="mongodb://react-cosmos-db:swQOhAsVjfHx3Q9VXh29T9U8xQNVGQ78lEQaL6yMNq3rOSA1WhUXHTOcmDf38Q8rg14NHtQLcUuMA==@react-cosmos-db.documents.azure.com:10255/?ssl=true&replicaSet=globaldb"
SECRET_KEY="b6264fca-8adf-457f-a94f-5a4b0d1ca2b9"

经过 dotenv 这个 npm 包能够读取 .env 文件的配置到 Nodejs 程序中。

npm install dotenv --save

安装后，直接调用它解析，就能够从环境变量中拿到 .env 文件的配置信息了：

require("dotenv").config();
var MongoClient = require("mongodb").MongoClient;

// Reference .env vars off of the process.env object
MongoClient.connect(
  process.env.DB_CONN,
  function(err, db) {
    if (!err) {
      console.log("We are connected");
    }
  }
);

这有个问题，不要将配置文件发送到 Git 仓库，可能会泄漏隐私数据。然而 VSCode 帮你解决了这个问题（什么，你不用 VSCode？）

VSCode 启动配置

VSCode 能够配置 Node 启动配置，在这里能够设置环境变量：

为了和 .env 文件打通，咱们能够在配置里设置 envFile 属性：

{
  "envFile": "${workspaceFolder}/.env"
}

程序中依然使用 dotenv 读取环境变量。这么作将配置保留在 VSCode 中，而不是代码中，不用再担忧不当心上传了配置文件啦！

使用 Npm Scripts

做者推荐了一个良好的习惯：使用 npm start 运行项目，而不是暴露出 Node 命令。那么首先在 VSCode launch.json 中配置 Npm 模式：

记住，须要给 Node 脚本添加 --inspect 参数，才能触发 VSCode debugger 的钩子：

这样一来，经过 npm start 就能够启动 Node，并读取配置在 VSCode 的环境变量。

生产环境的环境变量

上面介绍了本地开发如何使用环境变量，但在生产环境，环境变量必须得换个方式管理。

不知道做者与微软是什么关系，这块推荐了微软的 Azure 管理环境变量。

主要思路是经过一个不赚差价的中间商提供环境变量管理服务。经过 Azure CLI 启动你的 Node 项目，就能够从云服务平台拿到环境变量信息。

3 精读

环境变量管理是很是重要的问题，之前还看到将公司数据库密码提交到 Github 的例子，反面教材很是多。

本文介绍了许多本地开发使用环境变量的方式，笔者补充一下生产环境使用环境变量的经验。

私有部署

若是你在一个高自动化运维水平的公司，这个问题已经被私有 Git + 私有云服务器自然解决了。

是的，部署私有 Git，把数据库密码提交到 Git 仓库才是最完美的方案！

持久化配置服务

经过自建，或者开源的 Azure 持久化配置服务存储环境变量，在服务器利用 SDK 获取它。

通常云服务商都会打包这项服务，由于只有服务器和持久化配置服务都由一个供应商提供，供应商才能将持久化配置与服务器权限造成关联，让第三方服务器即使拿到 Token 也没法访问配置。

加密服务

若是安全级别特别高，内部 Git 都不容许提交，又要防止第三方（好比某宽带运营商）拦截到信息，就要使用加密服务了。

流程通常是：

1. 在加密平台注册，拿到密钥。
2. 在加密平台设置环境变量，加密平台会对内容进行加密。
3. 利用 Node SDK 获取到加密平台输出的密文。
4. 利用 SDK 和密钥解密成明文。

4 总结

对待在基础设施完备公司的同窗，可能不须要关心环境变量安全性问题。对于本身搭建博客，或者使用第三方服务器的同窗，这篇文章告诉咱们三个注意点：

1. 不要将重要环境变量提交到公开的 Git 仓库。
2. 本地经过 VSCode 调试环境变量既方便又安全。
3. 生产环境经过云服务商提供的环境变量配置服务拿到环境变量。

5 更多讨论

讨论地址是： 精读《如何在 nodejs 使用环境变量》 · Issue #89 · dt-fe/weekly

若是你想参与讨论，请点击这里，每周都有新的主题，周末或周一发布。