在JavaScript中访问GitHub秘密

Question

我有一个与API互动的学校项目的网页。当前，API密钥保存在JavaScript文件中，我意识到这是安全风险。我将价值存储在一个github的秘密中；我对如何使用github workflows使其成为环境变量有一个粗略的想法，但绝对不知道如何在JavaScript中访问它。我该怎么办？

该项目完全是前端，并使用普通的JavaScript（以及被授予）；我不知道如何做任何比API所说的更复杂的后端事情。

Answer 1

因此对于任何仅浏览您的代码的人来说，它都不可见。

不幸的是，在此处使用GitHub Actions的秘密以进行安全性没有太多意义 - 使令牌无法源源控制， API密钥将需要在用户浏览器的代码中的某个位置。

即使您以某种方式将其混淆，他们也能够使用浏览器的网络检查器查看API键。