在Node.js中使用DotenvX进行环境变量加密与解密

DotenvX作为Dotenv的增强版本，提供了环境变量加密功能，有效解决了敏感信息在代码库中明文存储的安全隐患。本文将详细介绍如何在Node.js项目中实现环境变量的加密与解密操作。

加密功能实现

DotenvX的加密功能设计得非常直观，开发者可以通过简单的命令行操作完成环境变量文件的加密：

1. 首先安装DotenvX工具
2. 使用命令行生成加密所需的密钥对
3. 执行加密命令对.env文件进行处理

加密后的环境变量文件可以安全地提交到代码仓库，而私钥则需妥善保管，不应随代码一起提交。

Node.js环境中的解密方案

最新版本的DotenvX(v0.43.0及以上)已经支持在Node.js运行时直接解密环境变量文件。实现方式有两种：

方法一：通过环境变量注入私钥

const dotenv = require('@dotenvx/dotenvx').config({path: ".env.production"})
console.log(process.env.HELLO)

运行时通过环境变量注入私钥：

DOTENV_PRIVATE_KEY_PRODUCTION="your_private_key_here" node app.js

方法二：通过密钥文件指定

const dotenv = require('@dotenvx/dotenvx').config({
  path: ".env.production",
  keys: ".env.keys" // 或直接指定密钥字符串
})

实际应用场景

这种方案特别适合以下场景：

1. 在CI/CD流水线中安全地使用加密的环境变量
2. 开发团队协作时共享环境配置而不暴露敏感信息
3. 部署到PaaS平台(如Railway)时解决环境变量注入问题

注意事项

1. 私钥必须严格保密，建议通过平台提供的secret管理功能存储
2. 不同环境(development/test/production)应使用不同的密钥对
3. 在Docker容器中运行时，私钥应通过安全的方式注入

DotenvX的这种实现方式既保持了开发便利性，又大幅提升了敏感信息的安全性，是现代Node.js项目环境变量管理的优选方案。