Il est impératif de ne pas publier sur Internet (git) un token, un login et/ou un mot de passe. Cela sous-entend qu’il faut absolument éviter de stocker en dur ces informations dans votre code source (quelquefois nous le faisons juste temporairement pour un test et nous ne faisons pas attention au moment de commit…).
Ces informations peuvent être stockées dans l'environnement local ou dans un KeyVault (elles peuvent être gérées et chargées par projet en utilisant le fichier .env et le paquet npm dotenv). Les frameworks high-scope ont d'ailleurs bien souvent une gestion interne déjà opérationnelle (penser à vous documenter).
Avec npm, nous vous conseillons d'utiliser le guide suivant qui va vous permettre d’éviter différents vecteurs d’attaques.
Alternative possible au package dotenv:
Autres ressources qui pourraient vous intéresser:
- Masterclass | Node.js Configurations (by Matteo Collina)
- Safely store secrets in Git using Blackbox (by Ulises Gascon)
- Managing Secrets in Node.js with HashiCorp Vault
⬅️ 🔐 Sécurité: Audit | ➡️ 🔐 Sécurité: Dépendances directes et indirectes