APIキーが記載されたファイルをpush...してはいけない！

Reactの勉強のために、とある動画を見ながら

chat-botアプリを作成していた時のお話です。

アプリのバックエンドはFirebaseを採用しており、

Firestoreにチャットのデータを保管しておき、

REST APIでやり取りを行う（Cloud FunctionsでAPI作成）

という仕組みです。

アプリが完成したのでGithubにあげたところ

「GitGuardian」という、なんだか守ってくれそうな方からメールが届きました。

嫌な予感がしてメールを開いてみると

「あなたのGithubアカウントでAPIキーが晒されているリポジトリがあるよ！
　危険なので守りましょう！」

英語だったので要約すると、このようなことが書いてありました。

この時、初めて知りました。

APIキーが記載されたファイルをGithubにあげてはいけないことを。

幸い今回晒されたAPIキーの権限は限定的だったので

特に何か大きな問題が発生することはなかったのですが、

設定によってはデータベースを書き換えられたりするので

注意が必要です。

Webの仕組みやセキュリティなどの基礎知識が

足りていないと痛感した出来事でした。

初学者の方はお気を付けください。

そして、小さいミスについて....

GitHubの草が生えない

GitHubにpushした後、翌日になっても草が生えていない現象がありました。

私はyahooメールでGitHubの登録をしていたのですが

このpushの時に、googleアカウントでログインしていたことが原因でした。

gmailの登録をしていればgoogleアカウントでログインしても問題ないのですが

私は登録をしていなかったので

同一人物とみなされなかったようです。

pushしたリポジトリのTOPページに以下のような

メッセージが来ておりました。

このメッセージの右側にある「claim email address」をクリックすると

gmailに承認メールが届き、承認を行ったところ連携され

過去の草も生えておりました。よかった....

こういったツール系は全てgmaiで登録しておいた方がいいかもしれませんね。

今回は以上です！

↓↓私の師匠、もりけんさんの武骨日記。問題集、要チェック

kenjimorita.jp