Table des matières
- Introduction aux variables d’environnement
- Accès aux variables d’environnement avec
process.env - Utilisation du package
dotenv - Bonnes pratiques de sécurité
Introduction aux variables d’environnement
Les variables d’environnement sont des paires clé-valeur dynamiques qui fournissent des informations de configuration aux applications. Elles sont stockées en dehors du code de votre application, offrant plusieurs avantages clés :
- Sécurité : Les données sensibles comme les clés API et les mots de passe ne doivent jamais être codées en dur. Les variables d’environnement offrent un moyen sécurisé de gérer ces secrets.
- Flexibilité : Modifiez facilement le comportement de l’application sans modifier la base de code. Ceci est crucial pour les différents environnements de déploiement (développement, mise en scène, production).
- Portabilité : Adaptez votre application à divers environnements en ajustant les variables d’environnement sans modification de code.
Ce guide montre comment accéder aux variables d’environnement en JavaScript, en se concentrant sur les environnements Node.js.
Accès aux variables d’environnement avec process.env
Node.js fournit un accès intégré aux variables d’environnement via l’objet process.env. Il s’agit de l’approche la plus courante et la plus recommandée pour les environnements de production.
// Obtenir une variable d'environnement spécifique
const apiKey = process.env.API_KEY;
// Vérifier si une variable d'environnement existe et fournir une valeur par défaut
const port = process.env.PORT || 3000;
// Accéder à plusieurs variables
const dbConfig = {
host: process.env.DB_HOST,
user: process.env.DB_USER,
password: process.env.DB_PASSWORD,
database: process.env.DB_NAME
};
//Exemple de gestion des variables d'environnement manquantes avec un message d'erreur plus descriptif
if (!dbConfig.host) {
throw new Error("Hôte de base de données non configuré. Veuillez définir la variable d'environnement DB_HOST.");
}
console.log("Clé API :", apiKey);
console.log("Port :", port);
console.log("Configuration de la base de données :", dbConfig);
N’oubliez pas que la définition des variables d’environnement est spécifique au système d’exploitation. Sous Linux/macOS, utilisez export (par exemple, export API_KEY="votre_clé_api") ; sous Windows, utilisez set.
Utilisation du package dotenv
Pour le développement, le package dotenv simplifie la gestion des variables d’environnement à partir d’un fichier .env. Cela permet de garder les informations sensibles hors de votre système de contrôle de version.
- Installation :
npm install dotenv - Fichier .env : Créez un fichier
.env(ajoutez-le à votre.gitignore!) dans le répertoire racine de votre projet :
API_KEY=votre_clé_api
DATABASE_URL=votre_url_base_de_données
PORT=3001
- Utilisation :
require('dotenv').config();
const apiKey = process.env.API_KEY;
const databaseUrl = process.env.DATABASE_URL;
const port = process.env.PORT;
console.log("Clé API :", apiKey);
console.log("URL de la base de données :", databaseUrl);
console.log("Port :", port);
dotenv.config() charge les variables de .env dans process.env. Priorisez toujours les variables d’environnement système par rapport à .env pour les déploiements en production.
Bonnes pratiques de sécurité
- Ne jamais coder en dur les informations sensibles. Utilisez toujours des variables d’environnement.
- Ajoutez
.envà votre.gitignore. Empêchez les validations accidentelles de données sensibles. - Utilisez une solution de gestion des secrets pour les environnements de production afin de stocker et d’accéder en toute sécurité aux données sensibles.
- Validez et sanitisez toutes les variables d’environnement avant de les utiliser dans votre application pour éviter les vulnérabilités.
- Revoyez et mettez régulièrement à jour vos pratiques de sécurité.