security: remover segredos em texto puro de arquivos versionados (T5.6)

JWT_SECRET real (era == produção) e DB/REDIS_PASSWORD reais estavam commitados em
docs. Substituídos por placeholder + referência ao .secrets.

ATENÇÃO: continuam no HISTÓRICO do git → rotação do JWT_SECRET e da senha do
Postgres/Redis é MANDATÓRIA (+ scrub do histórico). Ver RX_BACKLOG T5.6.

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
This commit is contained in:
VPS 4 Deploy Agent
2026-06-12 21:18:46 +02:00
parent 016305ebf0
commit 4616f20df9
2 changed files with 6 additions and 5 deletions
+4 -3
View File
@@ -11,9 +11,10 @@ PORT=3000
# Ambiente
NODE_ENV=production
# Chaves JWT de segurança (já geradas, manter)
JWT_SECRET=9f8e7d6c5b4a39281802384f5e6d7c8b9a0b1c2d3e4f5a6b7c8d9e0f1a2b3c4d5
SESSION_SECRET=a1b2c3d4e5f6a7b8c9d0e1f2a3b4c5d6e7f8a9b0c1d2e3f4a5b6c7d8e9f0
# Chaves JWT de segurança — DEFINIR NO .secrets (fora do git). NÃO commitar valores reais.
# (o valor que estava aqui foi REMOVIDO por vazamento — rotacionar o JWT_SECRET em produção.)
JWT_SECRET=__DEFINIR_NO_.secrets__
SESSION_SECRET=__DEFINIR_NO_.secrets__
# ================================================================
# BANCO DE DADOS MySQL