Secrets et Variables d'Environnement

Que sont les secrets ?

Les secrets sont des valeurs nommées — clés API, jetons, URL de base de données, clés de signature de webhooks — dont votre projet déployé a besoin au moment de l'exécution, mais qui ne doivent jamais apparaître dans votre code source, l'historique de conversation ou le bundle généré. FloopFloop les stocke de manière chiffrée et les injecte dans votre projet en cours d'exécution sous forme de variables d'environnement.

L'onglet Secrets héberge également la carte Cryptohopper pour connecter un compte d'échange lorsque votre projet en a besoin. Les tâches planifiées utilisent le même modèle d'injection à l'exécution, mais sont enregistrées automatiquement depuis le manifeste du modèle — consultez Tâches planifiées.

Dans votre projet déployé, vous les lisez de la même façon que dans n'importe quelle application Node.js :

const stripe = new Stripe(process.env.STRIPE_SECRET_KEY);

Pourquoi utiliser les secrets plutôt que de les coder en dur ?

• Les identifiants n'entrent jamais dans l'historique de conversation. Si vous collez une clé dans le chat, le garde côté serveur de FloopFloop rejette le message avant qu'il ne soit persisté ou envoyé à l'IA.
• Les identifiants n'entrent jamais dans le bundle généré. Le code de votre projet référence process.env.MY_KEY ; la valeur n'est matérialisée qu'à l'intérieur du runtime de déploiement.
• Vous pouvez effectuer une rotation sans redéployer. Mettez à jour un secret et la nouvelle valeur est prise en compte à la prochaine requête.

Gestion des secrets depuis le tableau de bord

Ouvrez votre projet, allez dans Paramètreset faites défiler jusqu'à la section Secrets & Variables d'environnement. De là, vous pouvez ajouter un nouveau secret, en mettre un à jour ou en supprimer un. La liste affiche le nom de la clé et les quatre derniers caractères de la valeur — la valeur complète n'est jamais affichée après que vous l'avez enregistrée.

Invites dans le chat

Lorsque l'IA génère un code qui nécessite un identifiant qu'elle n'a pas encore, elle vous le demande en ligne. Une boîte de dialogue s'ouvre avec le nom de la clé pré-rempli ; vous collez la valeur et cliquez sur Enregistrer. La valeur est directement envoyée vers le stockage chiffré — elle n'est pasécrite dans la transcription du chat et n'est pas visible par l'IA.

Règles de nommage des clés

• Uniquement en UPPER_SNAKE_CASE (lettres, chiffres, underscores).
• Doit commencer par une lettre.
• 1 à 64 caractères.
• Exemples : STRIPE_SECRET_KEY, OPENAI_API_KEY,DATABASE_URL.

Limites

• 25 secrets par projet.La mise à jour d'un secret existant ne compte jamais dans le plafond — seul l'ajout d'une nouvelle clé y est comptabilisé.
• 4 096 caractères par valeur.C'est bien au-dessus de la longueur de n'importe quelle clé API ou jeton standard ; les valeurs plus longues indiquent presque toujours une erreur de collage.

Comment ils sont stockés

Chaque valeur est chiffrée avec une clé gérée par le client AWS KMS avant de quitter FloopFloop. Le contexte de chiffrement lie le texte chiffré au projet et au nom de clé spécifiques, de sorte qu'un texte chiffré d'un projet ne peut pas être déchiffré dans un autre. Seul le runtime SSR qui sert votre projet a la permission de déchiffrer ; le tableau de bord, l'IA et les employés de FloopFloop ne l'ont pas. Les valeurs ne sont jamais enregistrées dans les journaux.

Accès programmatique

Si vous préférez gérer les secrets depuis vos propres outils, l'API publique expose des endpoints de listage, de création/mise à jour et de suppression. Consultez API Secrets pour les formats de requête et de réponse.