ファイルをアップロードするために、Filepicker.io を meteor アプリに接続しています。そのサービスには、(もちろん) 秘密にしておくことを推奨する API キーがあります。ファイルピッカーシークレットがクライアントコードのプレーンサイトにあるgithubで、他にもいくつかのサンプルアプリを見つけました。それは少し不安定なようです。また、パブリック リポジトリになくても、クライアント コードで指定されているため、Javascript コンソールを使用してアプリからキーを取得できます (必要な場合)。
その鍵の秘密を簡単に保つことができるアプリケーション(heroku configなど)とともに秘密を隠す方法があるのだろうか。
私の現在の計画は、キーをデータベースに置き、そのモデルをロックして、サーバー コードからのみ利用できるようにすることです。もっと簡単な方法はありますか?
ご指摘ありがとうございます。
develブランチ(まもなく0.5.3に含まれる)には新しい機能があります。またはにMeteor.settings引数としてJSONファイルを渡すと、オブジェクトはサーバー上で。として使用できるようになります。(を使用すると、これは永続的であるため、毎回渡すことを覚えておく必要はありません。)meteor runmeteor deployMeteor.settingsmeteor deploy
METEOR_SETTINGS(独自のホスティング環境を使用している場合は、環境変数を介してJSONファイルの内容を渡すことができます。)
データベースの使用も機能します---MeteorAccountsがOAuthアカウントの構成を保存する方法です。私の個人的な意見ではMeteor.settings、これはアプリの構成に最適ですが、データベースはパッケージの構成に最適です。これにより、パッケージは最初の実行時にインタラクティブな構成ウィジェットを表示できるようになりますaccounts-ui。