掌握Next.js生产环境中的环境变量：避免秘密值不可见的陷阱

理解Next.js中的环境变量

在next.js项目中，环境变量的管理是构建可配置应用的关键。next.js对环境变量的处理方式进行了区分，以确保安全性和灵活性：

1. 客户端环境变量 (Client-side Environment Variables)： 这些变量必须以NEXT_PUBLIC_作为前缀。它们会在构建时被嵌入到客户端JavaScript包中，因此可以在浏览器环境中直接访问（例如，通过process.env.NEXT_PUBLIC_API_KEY）。由于这些变量最终会暴露给用户，所以绝不能存放任何敏感信息。
2. 服务器端环境变量 (Server-side Environment Variables)： 这些变量不应带有NEXT_PUBLIC_前缀。它们只在Node.js环境中（例如，API路由、getServerSideProps、getStaticProps等）可用，不会被打包到客户端JavaScript中。这使得它们成为存储敏感信息（如API密钥、数据库凭据等）的理想选择。

生产环境中的秘密值不可见问题分析

许多开发者在本地开发时，会将所有环境变量都定义在.env.local文件中，并且由于本地开发服务器的行为，即使是带有NEXT_PUBLIC_前缀的变量，在服务器端API路由中也可能意外地被访问到。然而，一旦部署到生产环境，这种行为就会发生变化。

原始问题中，Google Sheets API的凭据（NEXT_PUBLIC_GOOGLE_CLIENT_EMAIL和NEXT_PUBLIC_GOOGLE_PRIVATE_KEY）被错误地使用了NEXT_PUBLIC_前缀。这些凭据是用于服务器端与Google API进行认证的敏感信息，本应只在服务器端API路由中访问。当它们被定义为NEXT_PUBLIC_时，Next.js在构建时会尝试将它们暴露给客户端，但由于它们是敏感的，或者在生产构建流程中处理方式不同，最终导致在服务器端API路由中无法正确读取，从而引发“The incoming JSON object does not contain a client_email field”之类的错误。

即使环境变量通过AWS等云服务注入，如果命名约定不符合Next.js的规范，或者在服务器端代码中试图以客户端变量的方式访问服务器端秘密，问题依然会出现。

解决方案一：正确使用环境变量前缀

对于只应在服务器端使用的敏感信息，绝不能使用NEXT_PUBLIC_前缀。

示例：

假设你的Google API凭据需要用于Next.js的API路由（pages/api/submit.js），它们应该这样定义在你的.env或生产环境配置中：

# .env 或生产环境配置
GOOGLE_CLIENT_EMAIL=your-client-email@example.com
GOOGLE_PRIVATE_KEY=-----BEGIN PRIVATE KEY-----\n...\n-----END PRIVATE KEY-----\n
GOOGLE_SHEET_ID=your-sheet-id

然后在你的API路由中，你可以直接通过process.env访问它们：

// pages/api/submit.js
import { google } from 'googleapis';

export default async function handler(req, res) {
  if (req.method !== 'POST') {
    return res.status(405).send('Only POST requests are allowed!');
  }

  try {
    const auth = new google.auth.GoogleAuth({
      credentials: {
        client_email: process.env.GOOGLE_CLIENT_EMAIL, // 注意：不再有 NEXT_PUBLIC_ 前缀
        private_key: process.env.GOOGLE_PRIVATE_KEY?.replace(/\\n/g, '\n'),
      },
      scopes: [
        'https://www.googleapis.com/auth/drive',
        'https://www.googleapis.com/auth/drive.file',
        'https://www.googleapis.com/auth/spreadsheets',
      ],
    });
    // ... 后续逻辑
    return res.status(201).json({ data: response.data });
  } catch (error) {
    console.error('API submission error:', error);
    return res.status(error.code || 500).send({ message: error.message || 'An unknown error occurred.' });
  }
}

注意事项：

• 部署环境配置： 在生产环境中，这些非NEXT_PUBLIC_前缀的变量通常通过CI/CD管道、云服务提供商的环境变量设置（如Vercel、Netlify、AWS ECS/Lambda、Docker容器环境变量）来注入。确保这些平台正确地设置了这些变量。
• Dockerfile： 如果使用Docker，环境变量可以通过docker run -e KEY=VALUE或在Dockerfile中使用ENV KEY=VALUE来设置。但更推荐在运行时注入，以避免将秘密信息硬编码到镜像中。
• 重启服务： 任何环境变量的更改都需要重新启动Next.js服务器或重新部署应用才能生效。

解决方案二：安全地向客户端暴露公共环境变量

有时，即使是带有NEXT_PUBLIC_前缀的变量（例如Google Tag Manager ID），也可能在某些生产部署环境中无法正确加载。这通常发生在客户端代码尝试访问这些变量时。为了确保这些公共变量在客户端可用，并且避免直接在构建时硬编码可能带来的问题（例如，需要动态切换环境配置），可以创建一个API路由来专门暴露这些公共环境变量。

Facet

Facet.ai是一款AI图像生成和编辑工具，具备实时图像生成和编辑功能

下载

示例：

创建一个API路由，例如pages/api/env.js，用于返回所有以NEXT_PUBLIC_开头的环境变量：

// pages/api/env.js
export default function handler(req, res) {
  // 过滤出所有以 'NEXT_PUBLIC_' 开头的环境变量
  const publicEnv = Object.keys(process.env)
    .filter((key) => key.startsWith('NEXT_PUBLIC_'))
    .reduce((acc, key) => {
      acc[key] = process.env[key];
      return acc;
    }, {});

  // 返回这些公共环境变量
  res.status(200).json(publicEnv);
}

然后在客户端组件中，你可以通过fetch请求这个API路由来获取公共环境变量：

// components/MyClientComponent.js (或任何需要客户端环境变量的地方)
import React, { useEffect, useState } from 'react';

function MyClientComponent() {
  const [envConfig, setEnvConfig] = useState({});

  useEffect(() => {
    async function fetchEnv() {
      try {
        const response = await fetch('/api/env'); // 请求你创建的API路由
        const data = await response.json();
        setEnvConfig(data);
      } catch (error) {
        console.error('Failed to fetch public environment variables:', error);
      }
    }
    fetchEnv();
  }, []);

  // 现在你可以通过 envConfig 访问这些变量，例如：
  // const gtmId = envConfig.NEXT_PUBLIC_GTM_ID;

  return (
    

      {envConfig.NEXT_PUBLIC_GTM_ID ? (
        
Google Tag Manager ID: {envConfig.NEXT_PUBLIC_GTM_ID}
      ) : (
        
Loading GTM ID...
      )}
    
  );
}

export default MyClientComponent;

注意事项：

• 安全性： 这种方法仅适用于非敏感的公共环境变量。切勿通过此方法暴露任何敏感信息，因为这些信息最终会通过网络请求传输到客户端。
• 性能： 每次客户端加载时都会发出一个额外的网络请求。对于频繁使用的公共变量，如果它们在构建时是固定的，并且不涉及敏感信息，仍然推荐直接使用NEXT_PUBLIC_前缀让Next.js在构建时嵌入。这种API路由方法更适用于那些在构建后可能需要动态调整，或者在某些特殊部署场景下NEXT_PUBLIC_前缀失效的情况。

总结

Next.js环境变量的正确使用是确保应用在生产环境中稳定运行的关键。核心原则是：

1. 服务器端秘密值：不使用NEXT_PUBLIC_前缀，并通过部署环境（如.env文件、Docker环境变量、云服务配置）安全注入。
2. 客户端公共值：使用NEXT_PUBLIC_前缀。如果遇到加载问题，可以考虑通过API路由动态获取，但需注意安全性和性能。

遵循这些最佳实践，可以有效避免在生产环境中因环境变量配置不当而导致的“秘密值不可见”问题。