回答編集履歴
8
追記7
answer
CHANGED
|
@@ -83,4 +83,42 @@
|
|
|
83
83
|
明らかにprocess.envで取得できる値とherokuにセットしている環境変数に矛盾が生じています。
|
|
84
84
|
|
|
85
85
|
何度も言いますが `App.js` の中でHerokuの環境変数は取得できないです。
|
|
86
|
-
また、APIキーをクライアントサイドで扱うべきではないです。
|
|
86
|
+
また、APIキーをクライアントサイドで扱うべきではないです。
|
|
87
|
+
|
|
88
|
+
# 追記7
|
|
89
|
+
|
|
90
|
+
気が向いたのでがんばって作りました。
|
|
91
|
+
そろそろベストアンサーにして欲しい気持ちです。
|
|
92
|
+
|
|
93
|
+

|
|
94
|
+
|
|
95
|
+
①クライアントからサーバのAPIを叩きます
|
|
96
|
+
②サーバから外部サービスのAPIを叩きます(ここでキーが必要になるはず)
|
|
97
|
+
③外部サービスから欲しい情報が返ってきます
|
|
98
|
+
④③で得た情報をクライアントに返します
|
|
99
|
+
|
|
100
|
+
サーバは
|
|
101
|
+
|
|
102
|
+
- PHP Laravel
|
|
103
|
+
- Ruby Rails
|
|
104
|
+
- Python Django
|
|
105
|
+
- Node.js Express
|
|
106
|
+
|
|
107
|
+
など色々選択肢があります。
|
|
108
|
+
上の図ではなんとなくRailsにしています。
|
|
109
|
+
|
|
110
|
+
APIキーのような機密情報はサーバに持たせます。
|
|
111
|
+
クライアントサイドで扱うのは何度も言っている通り危険です。
|
|
112
|
+
|
|
113
|
+
Node.jsでやる場合はExpressというフレームワークが一番有名です。
|
|
114
|
+
|
|
115
|
+
サーバについて知識がなければ1から勉強してください。
|
|
116
|
+
|
|
117
|
+
私から示せる `最小限の手順` は上記になります。
|
|
118
|
+
下の記事のようにキーを適当に扱って抜かれると大変なことになりますから、十分な知識を持って取り組んでください。
|
|
119
|
+
|
|
120
|
+
[https://qiita.com/AkiyoshiOkano/items/72002409e3be9215ae7e](https://qiita.com/AkiyoshiOkano/items/72002409e3be9215ae7e)
|
|
121
|
+
|
|
122
|
+
> 素直にメンバーにNPMを入れてもらうよう交渉したほうがいいんでしょうか・・・?
|
|
123
|
+
|
|
124
|
+
必要なら入れるのが大前提としか言えません。
|
7
追記6
answer
CHANGED
|
@@ -66,4 +66,21 @@
|
|
|
66
66
|
と先程から言っているようにクライアントサイドでは `process` はそもそも無いです。
|
|
67
67
|
繰り返しになりますがサーバにセットした環境変数はサーバ内でしか取得できません。
|
|
68
68
|
|
|
69
|
-
質問者さんはクライアントとサーバの違いを勉強された方が良い気がしています。
|
|
69
|
+
質問者さんはクライアントとサーバの違いを勉強された方が良い気がしています。
|
|
70
|
+
|
|
71
|
+
# 追記6
|
|
72
|
+
|
|
73
|
+
どうにもクライアントサイドで動作する `App.js` の中で環境変数が取得できると思い込んでいるようですが、
|
|
74
|
+
では聞きますが、Herokuの環境変数に `NODE_ENV` と `PUBLIC_URL` は存在しますか?
|
|
75
|
+
|
|
76
|
+
```
|
|
77
|
+
heroku config
|
|
78
|
+
=== sample-app Config Vars
|
|
79
|
+
key_test: test
|
|
80
|
+
```
|
|
81
|
+
|
|
82
|
+
質問者さんが提示されている通り存在しないはずです。
|
|
83
|
+
明らかにprocess.envで取得できる値とherokuにセットしている環境変数に矛盾が生じています。
|
|
84
|
+
|
|
85
|
+
何度も言いますが `App.js` の中でHerokuの環境変数は取得できないです。
|
|
86
|
+
また、APIキーをクライアントサイドで扱うべきではないです。
|
6
追記5
answer
CHANGED
|
@@ -54,4 +54,16 @@
|
|
|
54
54
|
私ならサーバを立ててそこでAPIキーを使う処理を行います。
|
|
55
55
|
その処理で得られた情報をJSON API越しでクライアントに渡します。
|
|
56
56
|
|
|
57
|
-
サーバの言語はPHP, Rubyなど色々選択肢はありますがNode.jsが良いならそれでも構いません。
|
|
57
|
+
サーバの言語はPHP, Rubyなど色々選択肢はありますがNode.jsが良いならそれでも構いません。
|
|
58
|
+
|
|
59
|
+
# 追記5
|
|
60
|
+
|
|
61
|
+
`Uncaught ReferenceError: process is not defined`
|
|
62
|
+
つまり `processは定義されていない` というエラーです。
|
|
63
|
+
|
|
64
|
+
> そもそも process.env 自体が使えないはずです。
|
|
65
|
+
|
|
66
|
+
と先程から言っているようにクライアントサイドでは `process` はそもそも無いです。
|
|
67
|
+
繰り返しになりますがサーバにセットした環境変数はサーバ内でしか取得できません。
|
|
68
|
+
|
|
69
|
+
質問者さんはクライアントとサーバの違いを勉強された方が良い気がしています。
|
5
追記4
answer
CHANGED
|
@@ -41,4 +41,17 @@
|
|
|
41
41
|
|
|
42
42
|
この際の具体的なエラーメッセージを共有して頂いた方が良さそうです。
|
|
43
43
|
|
|
44
|
-
(`App.js` っておそらくReactコンポーネントか何かだと思うので、それはクライアントサイドになりますからそこでは環境変数は取得できないという話をしているのですが・・・)
|
|
44
|
+
(`App.js` っておそらくReactコンポーネントか何かだと思うので、それはクライアントサイドになりますからそこでは環境変数は取得できないという話をしているのですが・・・)
|
|
45
|
+
|
|
46
|
+
# 追記4
|
|
47
|
+
|
|
48
|
+
> ローカル変数にアクセスする方法があるというのがびっくりでした。まだ駆け出しなものでいろいろわからず申し訳ないです
|
|
49
|
+
|
|
50
|
+
クライアント側のソースコードは閲覧者に丸見えですからいくらでもデバッグ可能です。
|
|
51
|
+
|
|
52
|
+
> どういった構成であれば対応可能でしょうか?
|
|
53
|
+
|
|
54
|
+
私ならサーバを立ててそこでAPIキーを使う処理を行います。
|
|
55
|
+
その処理で得られた情報をJSON API越しでクライアントに渡します。
|
|
56
|
+
|
|
57
|
+
サーバの言語はPHP, Rubyなど色々選択肢はありますがNode.jsが良いならそれでも構いません。
|
4
追記3
answer
CHANGED
|
@@ -31,4 +31,14 @@
|
|
|
31
31
|
[https://www.itmedia.co.jp/news/articles/1901/29/news117.html](https://www.itmedia.co.jp/news/articles/1901/29/news117.html)
|
|
32
32
|
|
|
33
33
|
環境変数に埋めたAPIキーを使うのであれば `サーバーサイド` で行って下さい。
|
|
34
|
-
サーバ側でAPIキーを使って必要な情報を取得し、クライアント側に送ってもいい情報だけを返すのが一般的な実装です。
|
|
34
|
+
サーバ側でAPIキーを使って必要な情報を取得し、クライアント側に送ってもいい情報だけを返すのが一般的な実装です。
|
|
35
|
+
|
|
36
|
+
# 追記3
|
|
37
|
+
|
|
38
|
+
どうにも噛み合ってない感じがあるので、
|
|
39
|
+
|
|
40
|
+
> App.js上に以下のように記載したところ、登録がないと怒られます。
|
|
41
|
+
|
|
42
|
+
この際の具体的なエラーメッセージを共有して頂いた方が良さそうです。
|
|
43
|
+
|
|
44
|
+
(`App.js` っておそらくReactコンポーネントか何かだと思うので、それはクライアントサイドになりますからそこでは環境変数は取得できないという話をしているのですが・・・)
|
3
追記2
answer
CHANGED
|
@@ -7,4 +7,28 @@
|
|
|
7
7
|
# 追記
|
|
8
8
|
|
|
9
9
|
サーバーサイドからクライアントサイドにAPIKEYを渡しても閲覧者から見えます。
|
|
10
|
-
APIKEYをクライアントサイドで使ってはいけません。
|
|
10
|
+
APIKEYをクライアントサイドで使ってはいけません。
|
|
11
|
+
|
|
12
|
+
# 追記2
|
|
13
|
+
|
|
14
|
+
> 上記などを読むと、
|
|
15
|
+
> ・基本的にAPIKeyは公開すべきではない
|
|
16
|
+
> ・環境変数にKeyを入れて運用するのがよい
|
|
17
|
+
> ・環境変数の取得は可能
|
|
18
|
+
> というように記載されているように読めますが、違うのでしょうか・・・?
|
|
19
|
+
|
|
20
|
+
合っています。
|
|
21
|
+
ただしすべて `サーバーサイド` 環境であることが前提です。
|
|
22
|
+
上げて頂いた記事もすべてサーバーサイド前提で書かれていますよ。
|
|
23
|
+
|
|
24
|
+
> (Function内でLocal変数を作成して当てることで完結させればユーザーはデータを取得できない)
|
|
25
|
+
|
|
26
|
+
意味がわからなかったのですが、 `コードを工夫すればクライアントサイドでキーを扱っても良い` と思っているのであればそれは間違いです。
|
|
27
|
+
クライアントサイドで機密情報を扱うのはやめましょう。
|
|
28
|
+
|
|
29
|
+
例えば質問箱というサービスはクライアントサイドにトークンを持ってきたせいで流出し問題となりました。
|
|
30
|
+
|
|
31
|
+
[https://www.itmedia.co.jp/news/articles/1901/29/news117.html](https://www.itmedia.co.jp/news/articles/1901/29/news117.html)
|
|
32
|
+
|
|
33
|
+
環境変数に埋めたAPIキーを使うのであれば `サーバーサイド` で行って下さい。
|
|
34
|
+
サーバ側でAPIキーを使って必要な情報を取得し、クライアント側に送ってもいい情報だけを返すのが一般的な実装です。
|
2
追記
answer
CHANGED
|
@@ -2,4 +2,9 @@
|
|
|
2
2
|
|
|
3
3
|
クライアントサイドJSは `閲覧者のブラウザ` で動作しますから、Herokuサーバの環境変数は読み取れません。
|
|
4
4
|
|
|
5
|
-
そもそも `process.env` 自体が使えないはずです。
|
|
5
|
+
そもそも `process.env` 自体が使えないはずです。
|
|
6
|
+
|
|
7
|
+
# 追記
|
|
8
|
+
|
|
9
|
+
サーバーサイドからクライアントサイドにAPIKEYを渡しても閲覧者から見えます。
|
|
10
|
+
APIKEYをクライアントサイドで使ってはいけません。
|
1
追記
answer
CHANGED
|
@@ -1,3 +1,5 @@
|
|
|
1
|
-
クライアントJSでは環境変数の読み込みはできないですがそこは大丈夫ですか?
|
|
1
|
+
クライアントサイドJSでは環境変数の読み込みはできないですがそこは大丈夫ですか?
|
|
2
2
|
|
|
3
|
-
クライアントJSは `閲覧者のブラウザ` で動作しますから、Herokuサーバの環境変数は読み取れません。
|
|
3
|
+
クライアントサイドJSは `閲覧者のブラウザ` で動作しますから、Herokuサーバの環境変数は読み取れません。
|
|
4
|
+
|
|
5
|
+
そもそも `process.env` 自体が使えないはずです。
|