在阅读了这篇文章、那篇文章、以及其他文章后,我得出结论:对于这个问题没有确定的答案;它取决于您的组织/您的偏好。对于大多数应用程序,推荐的方法是将它们保存在项目的根目录中,但要在.gitignore文件中包括它们,以避免它们被提交到主存储库中(每个设备/环境对应一个.env文件)。其他方法建议将它们包含在存储库中,但加载时要加密和解密其中所有密码。另一种方法是将它们存储在像KeyPass这样的密码管理程序中,这取决于您想在安全性方面投入多少精力以及希望花费多少时间来维护您的应用程序。