Secrets & Omgevingsvariabelen

Wat zijn secrets?

Secrets zijn benoemde waarden — API-sleutels, tokens, database-URL's, webhook-signeringssleutels — die je gedeployde project tijdens runtime nodig heeft, maar die nooit in je broncode, chatgeschiedenis of de gegenereerde bundle mogen verschijnen. FloopFloop slaat ze versleuteld op en injecteert ze in je draaiende project als omgevingsvariabelen.

Het tabblad Secrets bevat ook de Cryptohopper-kaart voor het koppelen van een exchange-account wanneer je project dat nodig heeft. Geplande taken gebruiken hetzelfde runtime-injectiemodel maar worden automatisch geregistreerd vanuit het template-manifest — zie Geplande taken.

In je gedeployde project lees je ze op dezelfde manier als in elke andere Node.js-app:

const stripe = new Stripe(process.env.STRIPE_SECRET_KEY);

Waarom secrets gebruiken in plaats van hardcoden?

• Credentials komen nooit in de chatgeschiedenis terecht. Als je een sleutel in de chat plakt, weigert FloopFloop's server-side beveiliging het bericht voordat het wordt opgeslagen of naar de AI wordt verstuurd.
• Credentials komen nooit in de gegenereerde bundle terecht. Je projectcode verwijst naar process.env.MY_KEY; de waarde wordt alleen gematerialiseerd binnen de deployment-runtime.
• Je kunt roteren zonder opnieuw te deployen. Update een secret en de nieuwe waarde wordt opgepakt bij het volgende verzoek.

Secrets beheren via het dashboard

Open je project, ga naar Instellingen en scroll naar de sectie Secrets & Omgevingsvariabelen. Daar kun je een nieuw secret toevoegen, een bestaand bijwerken of een secret verwijderen. De lijst toont de sleutelnaam en de laatste vier tekens van de waarde — de volledige waarde wordt nooit meer weergegeven nadat je hem hebt opgeslagen.

In-chat-prompts

Wanneer de AI code genereert die een credential nodig heeft die hij nog niet heeft, vraagt hij je er inline om. Er opent een dialoogvenster met de sleutelnaam al ingevuld; je plakt de waarde en klikt op opslaan. De waarde gaat rechtstreeks naar de versleutelde opslag — hij wordt niet in het chattranscript geschreven en is niet zichtbaar voor de AI.

Naamgevingsregels voor sleutels

• Alleen UPPER_SNAKE_CASE (letters, cijfers, underscores).
• Moet beginnen met een letter.
• 1–64 tekens lang.
• Voorbeelden: STRIPE_SECRET_KEY, OPENAI_API_KEY,DATABASE_URL.

Limieten

• 25 secrets per project. Het bijwerken van een bestaand secret telt niet mee voor de limiet — alleen het toevoegen van een nieuwe sleutel doet dat.
• 4096 tekens per waarde. Dit is ruim boven de lengte van een standaard API-sleutel of token; langere waarden duiden bijna altijd op een plakfout.

Hoe ze worden opgeslagen

Elke waarde wordt versleuteld met een door AWS KMS beheerde sleutel voordat hij FloopFloop verlaat. De versleutelingscontext koppelt de ciphertext aan het specifieke project en de sleutelnaam, zodat een ciphertext van het ene project niet in een ander kan worden ontsleuteld. Alleen de SSR-runtime die je project serveert heeft toestemming om te ontsleutelen; het dashboard, de AI en FloopFloop-medewerkers hebben dat niet. Waarden worden nooit gelogd.

Programmatische toegang

Als je liever secrets beheert vanuit je eigen tooling, biedt de publieke API endpoints voor weergeven, aanmaken/bijwerken en verwijderen. Zie Secrets API voor de structuur van verzoeken en antwoorden.