life-helper-secret v1.2.0

life-helper-secret

当前仓库（ life-helper-secret ）是「小鸣助手」项目客户端部分的“私密配置文件”，

常见问题

什么是“私密配置文件”？

类似于服务端项目配置文件中的数据库账号、密码等信息，客户端也有一些不想让普通用户获取的配置信息，存放该类配置信息的文件称为“私密配置文件”。

当前项目包含哪些“私密配置”？

「小鸣助手」项目使用了阿里云的 API 网关 来承接 HTTP 请求，为了 API 安全，项目开启了 摘要签名的认证方式，在进行摘要签名过程中使用的“密钥”是需要保密的，属于“私密配置”。

为什么要专门弄一个 npm 包来存放“私密配置”？

将源码和配置分开，进行自动化 CI/CD 将更加方便。

当前这个 npm 包是如何管理的？

当前这个 npm 包“一式两份”进行发布： （1）第一份：包含完整、真实的私密配置信息，发布到 npm 私有仓库，项目在自动化构建时将会使用私有仓库中的 npm 包。 （2）第二份：将真实的私密配置替换为 xxxxxxxxxxxx，发布至 npm 官方仓库。

这么做的目的是：既可以保证读者出于学习用途正常构建运行项目，又可以保证项目自动化构建。

能保证“私密配置”不泄露吗？

使用目前这种方式，并不能保证“私密配置”不泄露，只是增加了读者获取的门槛（至少能够挡住至少 99.9%的攻击者了）。实际上，即便被攻击者掌握了“私密配置”，能够造成的影响也非常有限，只不过能够绕过客户端来发起 HTTP 请求而已（大部分的应用对这个其实是没有任何限制的）。