我们传递一个在前面有一个密钥值的对象-->
app.use(session({
secret: 'keyboard cat',
resave: false,
saveUninitialized: true,
cookie: { secure: true }
})
我想知道将秘密密钥公开是一个好的做法,还是我应该通过环境变量传递它
是的,您应该将该键放在一个环境变量中,可能放在.env文件中,并使用dotenv包从服务器端JavaScript中将其作为变量抓取。
在javascript文件中将密钥作为明文存在的安全问题是,如果您将其提交给源代码管理,那么任何可以访问您的repo的人也可以访问该密钥。
