質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.00%

Node.js + HerokuでAPIKeyを隠匿したい

解決済

回答 3

投稿 編集

  • 評価
  • クリップ 0
  • VIEW 479
退会済みユーザー

退会済みユーザー

HTML + CSS + JSでAPIを使って画像を取得し、表示しているのですが、
JSではAPIKeyがJSファイル上に載ってしまっていてよろしくないので隠匿する方法を探しています。
いろいろ確認していたところ、.env ファイルを作って.gitignoreに入れればよいという書き込みも見つけたのですが、GitHub上に.envファイルが無いと結果読み込まれないため実用性がなく、誤って公開するリスクも有るとのことで、Keyは1つなのでファイルにしない別の方法を探していたところ、
herokuに公開し、Herokuの環境変数に入れてそれを取り出す方法をみつけ試しています。
以下の通り、ひとまずHerokuの環境変数に入れることは完了している状況です。

heroku config
=== sample-app Config Vars
key_test: test

環境変数には登録されているようなのですが、
App.js上に以下のように記載したところ、登録がないと怒られます。

{console.log(JSON.stringify(process.env.key_test))}

なお、以下も試したのですが、一覧を表示しても一覧に出ない状況でした。

{console.log(JSON.stringify(process.env))}

(Console.log(process.env)ではデータが受け取れなかったので探したところ上記で動くことがわかりました)

 {"NODE_ENV":"development","PUBLIC_URL":""}

developmentで設定していない(特に指定はしていない)のですが、どこかで入力が足りていないのでしょうか?
dotenv.jsの導入も検討しましたが、グループ開発で行っており、他のメンバーはNode.jsをローカルに入れていないため、最小限の構成で動くものを作りたい(Herokuの環境変数を読み込むだけなら別のJSファイルも不要なのでメンバーへの影響もあまりない)と考えています。

お手数ですが確認よろしくお願いいたします。
また、他に情報が必要でしたらお知らせください。

追記:
以下について、追記していただいた通りReactで作ったテスト(本来テスト環境ではないですがConsoleにテストデータを投げるために利用)です。ややこしくなって申し訳ないです。

 > heroku config
=== sample-app Config Vars
key_test: test

環境変数には登録されているようなのですが、
App.js上に以下のように記載したところ、登録がないと怒られます。
> {console.log(JSON.stringify(process.env.key_test))}

なお、以下も試したのですが、一覧を表示しても一覧に出ない状況でした。
> {console.log(JSON.stringify(process.env))}

(Console.log(process.env)ではデータが受け取れなかったので探したところ上記で動くことがわかりました)

エラーは「undefined」ですが、それは「process.env」の中に「key_test」がないということだと理解してます(環境変数を受け取れない仕様ならprocess.envでデータが受け取れないはずですよね。)
ちなみにConsoleを開いてConsole.log(process.env)を後から取得しようとしても

Uncaught ReferenceError: process is not defined
at <anonymous>:1:1

と出ますので開いた後は任意のユーザーがprocess.envにアクセス出来ないようになっている、という認識でいました。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

質問への追記・修正、ベストアンサー選択の依頼

  • dyoshikawa

    2019/07/04 16:33 編集

    記事読みましたがやはり「ライブラリ(もっというとjQuery)を使わないJS」という意味で使われていると思います。

    (クライアントサイドの)素のJS
    (サーバーサイドの)素のJS

    両方有り得ます。
    今回はカッコの内容が大事なので述べました。

    キャンセル

  • dyoshikawa

    2019/07/04 16:50

    > Node.jsはHerokuでビルドする際に自動で入るものではないのでしょうか?

    Node.jsとは要するにサーバーサイドJSのことです。
    なのでAPI KEYを使う処理はサーバーサイドで行う必要があります。
    必要な情報を取得したらJSON APIなどでやり取りしてクライアントサイド側に渡します。

    キャンセル

  • dyoshikawa

    2019/07/04 16:57

    今後私への返事は回答にコメントして頂ければと思います。

    キャンセル

回答 3

0

クライアントサイドJSでは環境変数の読み込みはできないですがそこは大丈夫ですか?

クライアントサイドJSは 閲覧者のブラウザ で動作しますから、Herokuサーバの環境変数は読み取れません。

そもそも process.env 自体が使えないはずです。

追記

サーバーサイドからクライアントサイドにAPIKEYを渡しても閲覧者から見えます。
APIKEYをクライアントサイドで使ってはいけません。

追記2

上記などを読むと、
> ・基本的にAPIKeyは公開すべきではない
> ・環境変数にKeyを入れて運用するのがよい
> ・環境変数の取得は可能
というように記載されているように読めますが、違うのでしょうか・・・?

合っています。
ただしすべて サーバーサイド 環境であることが前提です。
上げて頂いた記事もすべてサーバーサイド前提で書かれていますよ。

(Function内でLocal変数を作成して当てることで完結させればユーザーはデータを取得できない)

意味がわからなかったのですが、 コードを工夫すればクライアントサイドでキーを扱っても良い と思っているのであればそれは間違いです。
クライアントサイドで機密情報を扱うのはやめましょう。

例えば質問箱というサービスはクライアントサイドにトークンを持ってきたせいで流出し問題となりました。

https://www.itmedia.co.jp/news/articles/1901/29/news117.html

環境変数に埋めたAPIキーを使うのであれば サーバーサイド で行って下さい。
サーバ側でAPIキーを使って必要な情報を取得し、クライアント側に送ってもいい情報だけを返すのが一般的な実装です。

追記3

どうにも噛み合ってない感じがあるので、

App.js上に以下のように記載したところ、登録がないと怒られます。

この際の具体的なエラーメッセージを共有して頂いた方が良さそうです。

App.js っておそらくReactコンポーネントか何かだと思うので、それはクライアントサイドになりますからそこでは環境変数は取得できないという話をしているのですが・・・)

追記4

ローカル変数にアクセスする方法があるというのがびっくりでした。まだ駆け出しなものでいろいろわからず申し訳ないです

クライアント側のソースコードは閲覧者に丸見えですからいくらでもデバッグ可能です。

どういった構成であれば対応可能でしょうか?

私ならサーバを立ててそこでAPIキーを使う処理を行います。
その処理で得られた情報をJSON API越しでクライアントに渡します。

サーバの言語はPHP, Rubyなど色々選択肢はありますがNode.jsが良いならそれでも構いません。

追記5

Uncaught ReferenceError: process is not defined
つまり processは定義されていない というエラーです。

そもそも process.env 自体が使えないはずです。

と先程から言っているようにクライアントサイドでは process はそもそも無いです。
繰り返しになりますがサーバにセットした環境変数はサーバ内でしか取得できません。

質問者さんはクライアントとサーバの違いを勉強された方が良い気がしています。

追記6

どうにもクライアントサイドで動作する App.js の中で環境変数が取得できると思い込んでいるようですが、
では聞きますが、Herokuの環境変数に NODE_ENV と PUBLIC_URL は存在しますか?

heroku config
=== sample-app Config Vars
key_test: test

質問者さんが提示されている通り存在しないはずです。
明らかにprocess.envで取得できる値とherokuにセットしている環境変数に矛盾が生じています。

何度も言いますが App.js の中でHerokuの環境変数は取得できないです。
また、APIキーをクライアントサイドで扱うべきではないです。

追記7

気が向いたのでがんばって作りました。
そろそろベストアンサーにして欲しい気持ちです。

図

①クライアントからサーバのAPIを叩きます
②サーバから外部サービスのAPIを叩きます(ここでキーが必要になるはず)
③外部サービスから欲しい情報が返ってきます
④③で得た情報をクライアントに返します

サーバは

  • PHP Laravel
  • Ruby Rails
  • Python Django
  • Node.js Express

など色々選択肢があります。
上の図ではなんとなくRailsにしています。

APIキーのような機密情報はサーバに持たせます。
クライアントサイドで扱うのは何度も言っている通り危険です。

Node.jsでやる場合はExpressというフレームワークが一番有名です。

サーバについて知識がなければ1から勉強してください。

私から示せる 最小限の手順 は上記になります。
下の記事のようにキーを適当に扱って抜かれると大変なことになりますから、十分な知識を持って取り組んでください。

https://qiita.com/AkiyoshiOkano/items/72002409e3be9215ae7e

素直にメンバーにNPMを入れてもらうよう交渉したほうがいいんでしょうか・・・?

必要なら入れるのが大前提としか言えません。

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2019/07/04 17:45

    > クライアントサイド・サーバーサイドかどうかについては論点がずれているように思います。
    ずれていないです。
    質問者さんの中でJSがブラウザで動作するのか、サーバで動作するのか曖昧な理解になっていることが今一番問題だと思います。

    キャンセル

  • 2019/07/04 19:25 編集

    根気強くコメントしていただきありがとうございます。
    >create-react-appの場合は確かにprocess.env.XXXXXが使えるようです。
    >ただし(詳細な実装はしりませんが)擬似的に.envを使えるようにしただけで本当に環境変数が読めるわけではないです。
    これは知りませんでした。テストしている環境では使ってます。
    フロントエンドのファイルとして読み込まれている(?)App.jsでProcessが拾える理由はその点にあるということですね。ありがととうございます。
    そうなると
    >2. ブラウザのConsoleを開いてConsole.log(process.env)を打つ
    これでなぜ値が取得できなくなっているかが疑問ですが・・・(素人考えだと値をフロントエンドJSに渡しているのであれば表示できるのが普通=打ったコマンドについてはバックエンドJSとして動いている、のかなと思っていましたが)おそらく擬似的な値は起動時のみなんでしょうね。

    サーバーサイドのJS用のJSファイルって作れるんでしょうか?そしてそれを.gitignoreしてもきちんと読み込まれるんでしょうか?
    他に方法を考えるとPackage.jsonへ追記くらいしか正直方法が浮かばないのですが(それもやり方はまだわかりませんが)、検索しようにも
    「console.log(process.env)でコンソールに表示ができる」
    といったような話しか見つからず、実装する方法がわからないため困っています。
    素直にメンバーにNPMを入れてもらうよう交渉したほうがいいんでしょうか・・・?

    キャンセル

  • 2019/07/04 21:26 編集

    > これでなぜ値が取得できなくなっているかが疑問ですが・・・(素人考えだと値をフロントエンドJSに渡しているのであれば表示できるのが普通=打ったコマンドについてはバックエンドJSとして動いている、のかなと思っていましたが)おそらく擬似的な値は起動時のみなんでしょうね。

    ビルドする過程でできるようになっているだけです。
    あと何度も言っていますがブラウザのコンソールはクライアントサイドJSです。

    > サーバーサイドのJS用のJSファイルって作れるんでしょうか?そしてそれを.gitignoreしてもきちんと読み込まれるんでしょうか?

    なぜサーバーサイドのファイルを.gitignoreに入れるのかさっぱりわからないです・・・
    ignoreすべきは環境変数の値だけのはずです。

    あとはサーバアプリケーションの作り方を一度学んでくださいとしか言えないですね。

    キャンセル

0

App.js上に以下のように記載したところ、登録がないと怒られます。

このApp.jsクライアントサイドのものの場合、process.envをコードで使っているとそれはビルド時にクライアント側のコードに値が埋め込まれます。

つまり、ここにどうにかしてAPIキーを入れたとすると、それも含まれたJavaScriptファイルが出来上がってしまいます。キーの漏洩になるので、取ってはいけない手法です。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

check解決した方法

-1

API keyのいらないAPIを使って解決しました。
バックエンドのJSのどこにどう書くのか、いまいちわかりませんでしたが回答頂いた方はありがとうございました。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2019/07/15 22:33

    何度も言いますが一から勉強して下さい。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.00%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる