security(infra): remove backend/.env do tracking + .dockerignore + .env.example
- backend/.env deixa de ser versionado (continha JWT_SECRET, DATABASE_URL, DRAGONFLY_URL e chaves de IA); arquivo preservado em disco (dev e prod). - backend/.dockerignore: impede que segredos sejam copiados para a imagem (Dockerfile usa COPY . . e não havia .dockerignore). - .gitignore reforçado (**/.env, .secrets, *.dump, backups de env). - backend/.env.example documenta as variáveis sem valores. - JWT_SECRET rotacionado em dev e prod (fora do git). Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
This commit is contained in:
@@ -0,0 +1,26 @@
|
||||
# Modelo de variáveis de ambiente do backend (SEM segredos).
|
||||
# Copie para .env e preencha com valores REAIS. O .env NÃO é versionado.
|
||||
PORT=8018
|
||||
NODE_ENV=production
|
||||
|
||||
# Segredo de assinatura dos tokens JWT — gerar com: openssl rand -hex 48
|
||||
JWT_SECRET=
|
||||
|
||||
# Banco e cache (não versionar valores reais)
|
||||
DATABASE_URL=postgresql://USER:SENHA@HOST:5432/BANCO?schema=public
|
||||
DRAGONFLY_URL=redis://:SENHA@HOST:6379/1
|
||||
DRAGONFLY_TTL_SECONDS=3600
|
||||
|
||||
# Mensageria / workflows
|
||||
NATS_URL=nats://HOST:4222
|
||||
TEMPORAL_ADDRESS=HOST:7233
|
||||
TEMPORAL_NAMESPACE=default
|
||||
TEMPORAL_TASK_QUEUE=scoreodonto
|
||||
|
||||
# Chaves de IA (rotacionáveis apenas nos painéis dos provedores)
|
||||
OPENAI_API_KEY=
|
||||
GEMINI_API_KEY=
|
||||
|
||||
# Caminhos / front
|
||||
BAILEYS_SESSIONS_PATH=/app/sessions
|
||||
FRONTEND_URL=https://scoreodonto.com
|
||||
Reference in New Issue
Block a user