[Seminar] .env & .gitignore

[sopramdong]

API KEY 노출

type="text/javascript"
src="//dapi.kakao.com/v2/maps/sdk.js?appkey=% [ KEY입니다 ] %&libraries=services"

위에 처럼 민감한 정보를 코드에 적는 것(하드코딩)은 위험!
→ 이대로 Git Hub에 올리면 팀원 이외에 다른 사람들 모두가 볼 수 있게 되어 보안상 문제 발생.

.env 파일
: 프로젝트의 환경 설정 값(비밀번호, 키 등)을 저장하는 텍스트 파일

→ 코드와 설정을 분리. 코드는 공개 되더라도 중요한 보안 정보는 .env파일 안에 숨겨져서 안전.

실제 적용 (.gitignore)
.gitignore 파일 리스트에 .env를 반드시 추가.
→ Git이 이 파일을 무시, 내 컴퓨터에만 남고 Git Hub에는 올라가지 않음.

.gitignore 파일
: Git이 버전 관리를 할 때 올리면 안 되는 파일 목록.

역할

1. 보안 : .env 같은 보안 파일이나, 인증키 파일을 이곳에 등록.
2. 협업성 : Mac이나 Windows가 자동으로 만드는 시스템 파일이나, 내 컴퓨터만의 설정 파일을 무시.
3. 효율성 : 필요 이상으로 무겁거나, 인터넷에서 다시 다운받으면 되는 파일들을 제외.

도메인 제한 → 2차 보안
: 내 API Key가 특정 주소에서만 작동하도록 설정하는 것.

→ 브라우저(F12)에서 키가 노출되는 것은 막을 수 없음. 그렇기 때문에 API Key가 특정 주소에만 작동하게 해서 키를 사용하려 해도 서버에서 요청을 거부.

알아볼 점

• React 뜯어보기 ( 코드 위키 )
• 오픈 소스 기여하기
• .env.local 등 알아보기