在生产环境中保护React的环境变量

Question

在生产环境中保护React的环境变量

reactjsdockerjenkinsdocker-composeyarnpkg

3

我正在构建一个React应用程序，并使用Docker和Jenkins进行生产部署... 我如何为这个静态应用程序安全地提供环境变量？

这是我的Dockerfile：

# stage 1: build the react app
FROM node:10.15.0 as react-build

WORKDIR /app
COPY . /app

ARG REACT_APP_API_ENTRYPOINT
ARG REACT_APP_CONNECT_URI
ARG REACT_APP_CONNECT_CLIENT_ID
ARG REACT_APP_CONNECT_SECRET
ARG REACT_APP_CONNECT_CALLBACK_URL

RUN yarn
ENV NODE_ENV=production
ENV REACT_APP_API_ENTRYPOINT=${REACT_APP_API_ENTRYPOINT}
ENV REACT_APP_CONNECT_URI=${REACT_APP_CONNECT_URI}
ENV REACT_APP_CONNECT_CLIENT_ID=${REACT_APP_CONNECT_CLIENT_ID}
ENV REACT_APP_CONNECT_SECRET=${REACT_APP_CONNECT_SECRET}
ENV REACT_APP_CONNECT_CALLBACK_URL=${REACT_APP_CONNECT_CALLBACK_URL}
RUN yarn run -s build

# Stage 2: build the production environment
FROM openresty/openresty:alpine
COPY deploy/files/nginx.conf /etc/nginx/conf.d/default.conf
COPY --from=react-build /app /usr/local/openresty/nginx/html

# forward request and error logs to docker log collector
RUN ln -sf /dev/stdout /usr/local/openresty/nginx/logs/access.log && \
    ln -sf /dev/stderr /usr/local/openresty/nginx/logs/error.log

EXPOSE 8000
ENTRYPOINT ["nginx", "-g", "daemon off;"]

目前的构建流程会暴露那些变量 :(

- numediaweb

为什么在 React 等客户端应用程序中要使用某些秘密变量？ - Tu Tran

1

因为我需要连接到一个需要它的API。保护这些变量的最佳实践是什么？ - numediaweb

你有连接API的后端应用程序吗？通常，当您连接到API时，需要在后端进行连接，并可以保护您的秘密变量。 - Tu Tran

1个回答

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- João Cunha · Answer 1

你可以使用 dotenv 来在构建过程中使用 .env 文件来加载你的环境变量（例如在 webpack 中使用 DefinePlugin）。

然后你只需要运行 RUN yarn run -s build 而不必指定每个单独的环境变量。

甚至还有一个专门为你的 webpack 设置设计的快捷 npm 包。webpack-dotenv