Безопасно ли хранить api ключ в .env?

Question

[alestro]

Собственно вопрос в заголовке.
Проект собран под vite.js .env файл лежит в корне проекта (там же где и vite.config.js)

Значение ключа получаю через import.meta.env.VITE_SECRET.
Насколько это безопасно, есть ли вариант засветит ключ на клиенте, например через консоль браузера?

Answer 1

[Алексей Ярков]

Ну так если он будет передаваться при запросе, то и смысла его прятать нет.

Answer 2

[Кирилл Романов]

Если это фронтенд-приложение - то оно целиком публично, в нём нельзя ничего спрятать. Такие места, где используется переменные из env - считай что просто автозаменой при сборке подставляются значения.

Answer 3

[Александр Талалаев]

Смотрите. Самое главное хранить в безопасном месте.
Если .env лежит на прод сервере в непубличной папке - то зачастую это считается достаточно безопасным местом. Ведь туда попадёт только администратор сервера или ответственный за деплой. Эти люди могут иметь доступ.
Считается очень плохой практикой хард кодить эти ключи в код, а также добавлять .env в репозиторий.
Поэтому, если у вас этот файл не в репозитории, а вы его настроили и создали на сервере в не публичной (с тчк зрения вбе сервера) папке - то всё ок.