Angular 6，我应该将秘密环境变量放在 environment.ts 文件中吗？

Question

有两个子问题：

1. 我应该将秘密环境变量放在environment.ts 文件中吗？

2. process 变量 shim 消失了。如果我使用它，tsc 会抛出错误：Cannot find name 'process'。

这是我的事：

关于 Q1：我认为将秘密环境变量放入 environment.ts 文件中是不正确的。因为这些文件会被推送到源代码管理，比如 GitHub、GitLab、bitbucket。这不安全。所以我认为秘密环境变量应该通过process.env传递，比如process.env.ACCESS_TOKEN，或者，如果使用docker-compose，应该将秘密环境变量放在.env文件中，并将这个文件添加到.gitignore文件中。

关于Q2：如果我使用Heroku 来设置我的环境变量，它取决于process 变量。现在，angular6 摆脱了process 的垫片，我该如何使用 Heroku？另外，使用 docker-compose 通过.env 文件传递​​环境变量也依赖于process。

如果使用.env 文件进行docker-compose，就会出现一个新问题：How to pass variables in .env file to angular6 environment.ts file

更新 1：

这是一个案例：

首先，没有后端

我使用 GitHub API 和另一个开放的 API，并且有一个名为 access_token 的环境变量， 如果我把这个放在environment.ts 文件中并将我的前端源代码推送到Github，Github 会检测到秘密信息并给我一个警告，他们说：

你不应该将 GitHub 访问令牌放在你的源代码中并将其推送到 repo，这样他们就会撤销我的访问令牌。

所以我想使用process.env.ACCESS_TOKEN，但是process 变量shim 在Angular6 中消失了，我该如何解决这个问题？我应该将environment.ts 文件添加到.gitignore 文件还是什么？

更新 2

这是另一个案例

继续更新 1。现在，我添加 docker-compose.yaml 和 Dockerfile 以在 docker 容器中运行我的前端应用程序。

这是工作流程：

1. 写入Dockerfile，运行npm run build命令并将./build目录复制到docker容器的nginx静态文件目录。 ./build目录包含index.html、bundle.js等文件。

2. 将access_token 和其他秘密环境变量放入.env 文件中。

3. 运行 docker-compose up 以在 docker 容器中运行我的应用程序。

我认为这个工作流程是可靠的。无需后端服务，.env 和.gitignore 中的秘密环境变量包含.env 文件，因此不会推送到Github repo。

但是，关键是process shim 不见了。我无法通过process获取环境变量。

更新 3

我认为我的问题集中在前端应用开发阶段。 我继续用上面的案例来解释。

为了准备好生产，工作流程是：

1. 当 oauth 工作流程完成后，为 github oauth 创建一个后端服务。后端服务发送access_token到前端。

2. 前端登录成功，从后端服务获取access_token并存储在localStorage或cookie中。不需要从process.env 获取access_token

但对于开发阶段，前端和后端开发是分开的，以适应一般情况。所以，前端不应该依赖后端服务。

而且我不想在一开始就构建整个大系统。

所以我认为问题是：

在哪里存储秘密环境变量以及如何在Angular6 前端应用程序代码中获取？需要考虑几种情况：

• 使用 PaaS Heroku 配置变量
• Dockerized(docker-compose, Dockerfile), .env 文件。
• 没有后端服务。
• 将环境变量文件添加到.gitignore，不要推送到SCM（Github、GitLab等）

Answer 1

TL;博士

您不应将environment.ts 视为类似于process.env 的东西。

名称相似，但行为绝对不是。 environment.ts 中的所有设置将直接转到您的代码。这就是为什么以任何方式将机密信息发送到 environments.ts 是不安全的。

环境变量（process.env）的浏览器替代品是

• sessionStorage：行为类似于export VAR=value
• localStorage：行为类似于 export VAR=value，但放入您的 .bash_profile 并在会话中保持不变
• indexedDB：与 localStorage 相同，只是其异步不同
• cookies：看起来不像process.env，但在某些情况下仍然可以将秘密自动发送到某些后端
• 后端：从后端获取机密始终是一个选项，异步

加长版

在客户端应用程序中没有秘密之类的东西。由于您在浏览器中的代码将能够获取这些变量，因此每个人都将能够在运行时获取这些变量。

这意味着，您显式或隐式使用的所有库、用户的浏览器扩展程序以及任何能够嗅探您/您的用户流量的人 - 他们都会很容易地获得您的秘密。

不管你如何通过它。通过 process.env 或 environment.ts，所有内容都将在生成的 main.js 文件中结束，它们不再是秘密，进一步讨论实际上是无用的。

第 1 部分更新答案：

如果access_token 是您（或您的合成用户）令牌，那么您有两种选择：

1. 编写一个代表该 Github 用户推送代码的后端服务。这意味着令牌将存储在后端的环境变量中，这是一种非常合适的处理方式
2. 要求您的用户为每次推送输入令牌或询问一次并将其存储在本地存储中。这只有在每个用户都有自己/不同的令牌时才有意义

更新第 2 部分的答案：

您可以在前端构建一个 docker，在托管在世界上最安全的服务器上的虚拟机内的 kubernetes 集群中运行它，如果您将令牌作为角度环境变量，它不会使您的令牌安全，因为公开的东西不能保密。

您似乎没有理解重点：GitHub 给您一个错误并且不允许推送代码，您应该已经感谢它在您的架构中发现了问题。如果您想解决问题，请使用上述解决方案。如果你想简单地绕过 GitHub 的验证并且你不关心安全性，那么只需将你的令牌字符串分成两部分并将其分开存储，GitHub 将无法找到它。

更新第 3 部分的答案：

您可以直接从前端执行 GitHub 的 Oauth2 请求。您的每个用户都应该在那里拥有一个帐户，这将解决您的所有问题。这实际上与作为解决方案 #2 提出的相同。

如果您使用带有后端的解决方案 #1，出于开发目的，只需预先设置 cookie 或使用 localStorage.setItem('your-token-here')。这对于开发目的来说已经绰绰有余了。