在Netlify托管上构建create-react-app(v2),并且需要处理秘密密钥以进行付款处理和来自CMS(内容丰富)的内容提取。
CRA使用'process.env.REACT_APP'在构建输出中公开密钥,并且CRA覆盖了该空间,并且不允许将这些密钥托管在变量空间中并在构建时安全地进行访问。
在确保密钥安全的正确方法方面是否存在最佳实践?
答案 0 :(得分:0)
您在这里有两种不同的情况。谈到内容丰富,您可能正在使用CDA。该API是只读的,并且具有自己的令牌。将其公开展示给您,并使用REACT_APP_对您的应用程序做出反应,不会有任何危害。
尽管付款提供商是另一回事。为此,我建议使用Netlify函数不公开令牌。这样,您的React应用程序可以使用功能端点,并且令牌保持安全。 :)