E. API Key、环境变量与基础安全

基础版不要求你一上来学完整安全体系，但有几条最低限度的底线，最好越早建立越好。

先记住最重要的一句

API Key 不要直接写进代码仓库。

这条看起来简单，但非常关键。很多安全问题在基础阶段不是因为原理太复杂，而是因为最基本的边界没有守住。

.env 是什么

你可以把 .env 理解成：专门放“本来就不该直接写进代码”的配置值的地方。

比如：

• API Key
• 数据库连接地址
• 第三方服务密钥

这些内容往往会随着环境变化，也不适合直接硬编码在项目里。

.gitignore 是什么

.gitignore 的作用很朴素：告诉 Git 哪些文件不要提交进仓库。

基础阶段最该养成的习惯之一，就是确认像 .env 这样的文件不要被提交出去。

上线前至少检查这几件事

• API Key 没有写死在源码里
• .env 这类本地敏感文件没有被提交到仓库
• 部署平台需要的环境变量已经正确配置
• 线上缺少密钥时，页面不会假装正常工作

一个很够用的检查提问

如果你不确定当前项目有没有把密钥放错地方，可以直接问 AI：

请帮我检查这个项目里是否有敏感信息直接写在代码里。
重点检查 API Key、环境变量和不应该提交到仓库的配置文件。
如果有问题，请告诉我应该怎么调整。

基础版在这里先收住什么

基础版只要求你建立底线意识，不会在这里展开完整认证体系、权限设计或更复杂的安全策略。如果你想系统补这部分，可以去看进阶版的 第八章：谁能访问我的数据。