我对 Node.js 和 Express 比较陌生,我正在遵循使用 JWT 添加身份验证到我的网站的指南:Medium。我对本指南中关于使用秘密的一点感到困惑,它说:
JWT 库在创建和验证令牌时将读取此秘密。在生产中,我们需要将此秘密存储在环境变量中而不是文件中。
在指南中,他们将秘密放在配置文件中。我希望指南描述了为什么 JWT 秘密应该是一个环境变量而不是在配置文件中,但它非常模糊。那么为什么秘密应该是环境变量,以及使用秘密的其他最佳实践是什么?我决定使用 Passport & Express Sessions 代替 JWT 进行身份验证,但我认为它仍然适用于会话密钥。
我的下一个问题是如何在环境变量中准确设置秘密?我不再使用该指南,但是使用它的人如何将该配置文件转换为环境变量?最后,在典型的 Node.js 应用程序中,您通常使用环境变量来做什么?