永远不要在代码中硬编码敏感信息!
本应用使用应用内配置来管理所有敏感凭证。所有配置都保存在设备本地,不会提交到 Git 仓库。
应用已经提供了完整的设置界面,您可以在应用内配置:
- 打开应用
- 进入"设置"页面
- 配置以下信息:
-
GitHub 配置
- Token:
ghp_xxxxx(在 GitHub Settings → Developer settings → Personal access tokens 创建) - Owner: 您的 GitHub 用户名
- Pic Repo: 图片仓库名称
- Issue Repo: 文章仓库名称
- Token:
-
OSS 配置(支持多个)
- 名称: 配置名称(如"缤纷云"、"七牛云")
- Access Key ID
- Secret Access Key
- Region
- Bucket
- Endpoint URL
-
所有配置通过 shared_preferences 存储在设备本地:
- 配置文件路径由系统管理
- 不会同步到 Git 仓库
- 仅在当前设备有效
如果您是开发者并需要测试,建议:
- 不要创建测试配置文件
- 使用应用内配置界面进行配置
- 确保
.gitignore包含:*.env *.env.local **/credentials.json **/config.local.dart
- 访问 https://github.com/settings/tokens
- 创建 Personal Access Token (classic)
- 权限选择:
repo(完整仓库访问)write:packages(如需上传包)
- 将 Token 保存到应用配置中
- 登录缤纷云控制台
- 创建 Access Key
- 在应用中添加 OSS 配置
- 登录七牛云控制台
- 个人中心 → 密钥管理
- 在应用中添加 OSS 配置
- 确认代码中没有硬编码的密钥
- 确认
.gitignore配置正确 - 使用应用内配置管理所有凭证
- 定期轮换凭证
- 为每个应用使用独立的凭证
- 限制凭证的最小权限
如果您之前不小心提交了敏感信息,请参考以下步骤:
- 立即撤销暴露的凭证
- 使用
git-filter-repo清理历史 - 强制推送到远程仓库
- 通知所有协作者重新克隆仓库
如果您发现任何安全问题,请:
- 不要公开披露
- 发送邮件到仓库维护者
- 等待安全修复后再公开讨论