【发布时间】:2020-12-28 18:47:47
【问题描述】:
我完成了一个包含 API 密钥的项目,我想将它上传到 Github。我要小心不要在 Github 上公开 API Key。
我发现的两种方法是
- 使用 .gitignore 隐藏包含敏感信息的文件
- 只需将 API 密钥值更改为“YOUR-API-KEY-HERE”,然后再上传到 Github。像这样:
ApiKey="YOUR-API-KEY-HERE"
问题
如果包含我的 API 密钥的文件在 gitignore 中“隐藏”并且我将我的项目上传到 Github,这是否会导致我的项目无法被任何下载它的人正常运行,因为该项目找不到“隐藏”API钥匙?如果有人在 Github 上查看我的项目,他们是否无法访问“隐藏”文件?
在哪些情况下我应该使用 Gitignore 或“YOUR-API-KEY-HERE”方法?
【问题讨论】:
-
理想情况下,您的 API 密钥一开始就不应该在代码库中。一个常见的选择是通过环境变量或命令行标志获取 API 密钥,CI 系统和/或部署(Kubernetes 等)代表您处理密钥。或者,API 密钥可以存储在应用程序部署时存在的文件或数据库中,而不是在开发中硬编码。
标签: git github gitignore api-key