Secret e Variabili d'Ambiente

Cosa sono i secret?

I secret sono valori con nome — chiavi API, token, URL di database, chiavi di firma webhook — di cui il tuo progetto distribuito ha bisogno in fase di runtime ma che non devono mai comparire nel codice sorgente, nella cronologia della chat o nel bundle generato. FloopFloop li archivia in forma cifrata e li inietta nel tuo progetto in esecuzione come variabili d'ambiente.

La scheda Secrets ospita anche la scheda Cryptohopper per connettere un account di exchange quando il tuo progetto ne ha bisogno. I job pianificati usano lo stesso modello di iniezione runtime ma vengono registrati automaticamente dal manifesto del template — vedi Job Pianificati.

All'interno del tuo progetto distribuito li leggi nello stesso modo in cui faresti in qualsiasi app Node.js:

const stripe = new Stripe(process.env.STRIPE_SECRET_KEY);

Perché usare i secret invece di hardcoding?

• Le credenziali non entrano mai nella cronologia della chat.Se incolli una chiave nella chat, la protezione lato server di FloopFloop's rifiuta il messaggio prima che venga persistito o inviato all'AI.
• Le credenziali non entrano mai nel bundle generato. Il codice del tuo progetto fa riferimento a process.env.MY_KEY; il valore viene materializzato solo all'interno del runtime di distribuzione.
• Puoi ruotare senza ridistribuire. Aggiorna un secret e il nuovo valore viene utilizzato alla richiesta successiva.

Gestione dei secret dalla dashboard

Apri il tuo progetto, vai su Impostazioni e scorri fino alla sezione Secrets & Environment Variables. Da lì puoi aggiungere un nuovo secret, aggiornarne uno esistente o eliminarne uno. L'elenco mostra il nome della chiave e gli ultimi quattro caratteri del valore — il valore completo non viene mai visualizzato dopo il salvataggio.

Prompt in-chat

Quando l'AI genera codice che ha bisogno di una credenziale che non possiede ancora, te la chiederà inline. Si apre una finestra di dialogo con il nome della chiave precompilato; incolli il valore e clicchi su salva. Il valore va direttamente nell'archiviazione cifrata — nonviene scritto nel trascritto della chat e non è visibile all'AI.

Regole per i nomi delle chiavi

• Solo UPPER_SNAKE_CASE (lettere, cifre, underscore).
• Deve iniziare con una lettera.
• Da 1 a 64 caratteri.
• Esempi: STRIPE_SECRET_KEY, OPENAI_API_KEY,DATABASE_URL.

Limiti

• 25 secret per progetto.L'aggiornamento di un secret esistente non conta mai verso il limite — solo l'aggiunta di una nuova chiave lo fa.
• 4096 caratteri per valore. Questo è ben al di sopra della lunghezza di qualsiasi chiave API o token standard; valori più lunghi indicano quasi sempre un errore di incolla.

Come vengono archiviati

Ogni valore viene cifrato con una chiave gestita dal cliente AWS KMS prima di lasciare FloopFloop. Il contesto di cifratura lega il testo cifrato al progetto specifico e al nome della chiave, quindi un testo cifrato da un progetto non può essere decifrato in un altro. Solo il runtime SSR che serve il tuo progetto ha il permesso di decifrare; la dashboard, l'AI e i dipendenti di FloopFloop no. I valori non vengono mai registrati.

Accesso programmatico

Se preferisci gestire i secret dai tuoi strumenti, l'API pubblica espone endpoint per elenco, creazione/aggiornamento ed eliminazione. Vedi Secrets API per le forme di richiesta e risposta.