Recentemente ho avuto un dibattito con un collega dev su dove memorizzare Node.js env vars.
Io uso sempre i file .env e li carico come VAR ENV corretti in fase di esecuzione, tuttavia il mio compagno dev utilizza i file di configurazione JSON e li carica come variabili di runtime nell'app Node.js.
Nessun file (il .env o il config.json) vengono aggiunti a git per ovvi motivi.
La mia domanda. Da una prospettiva di sicurezza che è il metodo migliore?
NOTE:
- i file .env dovrebbero essere più veloci per caricare quello .json (senza analisi json)
- da ciò che posso raccogliere le chiavi config.json sono memorizzate nelle variabili globali del nodo
- entrambi possono essere sovrascritti in fase di runtime, se necessario
- il tipo di dati memorizzati in ogni var può essere ampio come sali, configurazioni del server, numeri, percorsi ecc. Praticamente qualsiasi informazione che l'applicazione Node dovrà eseguire.