Secretos y Variables de Entorno

¿Qué son los secretos?

Los secretos son valores con nombre — claves de API, tokens, URLs de base de datos, claves de firma de webhooks — que tu proyecto desplegado necesita en tiempo de ejecución pero que nunca deben aparecer en tu código fuente, el historial de chat ni el bundle generado. FloopFloop los almacena encriptados y los inyecta en tu proyecto en ejecución como variables de entorno.

La pestaña Secrets también aloja la tarjeta de Cryptohopper para conectar una cuenta de exchange cuando tu proyecto lo necesite. Los trabajos programados usan el mismo modelo de inyección en tiempo de ejecución pero se registran automáticamente desde el manifiesto de la plantilla — consulta Scheduled Jobs.

Dentro de tu proyecto desplegado los lees de la misma forma que en cualquier app Node.js:

const stripe = new Stripe(process.env.STRIPE_SECRET_KEY);

¿Por qué usar secretos en lugar de valores fijos?

• Las credenciales nunca entran en el historial de chat.Si pegas una clave en el chat, el guard del lado del servidor de FloopFloop's rechaza el mensaje antes de que se persista o se envíe a la IA.
• Las credenciales nunca entran en el bundle generado. Tu código del proyecto referencia process.env.MY_KEY; el valor solo se materializa dentro del runtime de despliegue.
• Puedes rotar sin volver a desplegar. Actualiza un secreto y el nuevo valor se recoge en la siguiente solicitud.

Gestionar secretos desde el dashboard

Abre tu proyecto, ve a Settings y desplázate hasta la sección Secrets & Environment Variables. Desde allí puedes añadir un nuevo secreto, actualizar uno existente o eliminar uno. La lista muestra el nombre de la clave y los últimos cuatro caracteres del valor — el valor completo nunca se muestra una vez guardado.

Prompts en el chat

Cuando la IA genera código que necesita una credencial que aún no tiene, te la pedirá de forma inline. Se abre un diálogo con el nombre de la clave precargado; pegas el valor y haces clic en guardar. El valor va directamente al almacenamiento encriptado — no se escribe en la transcripción del chat y no es visible para la IA.

Reglas de nomenclatura de claves

• Solo UPPER_SNAKE_CASE (letras, dígitos, guiones bajos).
• Debe comenzar con una letra.
• Entre 1 y 64 caracteres.
• Ejemplos: STRIPE_SECRET_KEY, OPENAI_API_KEY,DATABASE_URL.

Límites

• 25 secretos por proyecto. Actualizar un secreto existente nunca cuenta para el límite — solo añadir una nueva clave lo hace.
• 4096 caracteres por valor. Esto está muy por encima de la longitud de cualquier clave de API o token estándar; los valores más largos casi siempre indican un error al pegar.

Cómo se almacenan

Cada valor se encripta con una clave gestionada por el cliente de AWS KMS antes de salir de FloopFloop. El contexto de encriptación vincula el ciphertext al proyecto y al nombre de clave específicos, de modo que un ciphertext de un proyecto no puede desencriptarse en otro. Solo el runtime SSR que sirve tu proyecto tiene permiso para desencriptar; el dashboard, la IA y los empleados de FloopFloop no. Los valores nunca se registran en logs.

Acceso programático

Si prefieres gestionar los secretos desde tus propias herramientas, la API pública expone endpoints de listado, creación/actualización y eliminación. Consulta Secrets API para conocer las formas de solicitud y respuesta.