Skip to main content
Secret production tidak disimpan di wrangler.jsonc. Non-secret config ada di vars; secret di-push via Wrangler.

Alur

Key wajib vs opsional

File .cloudflare/worker-secrets.keys mendefinisikan: Wajib (harus terisi sebelum push):
  • BETTER_AUTH_SECRET
  • DEEPSEEK_API_KEY
  • AWS_ACCESS_KEY_ID
  • AWS_SECRET_ACCESS_KEY
Opsional (fitur mati kalau kosong):
  • MUX_*, SCALEV_*, RESEND_API_KEY, SERPAPI_API_KEY, dll.
./thub secrets check

Perintah

./thub secrets generate   # buat JSON dari env merged
./thub secrets push       # generate + push ke Cloudflare
Manual:
SECRETS_FILE=/path/to/secrets.json ./scripts/sync-worker-secrets.sh

Tarik secret dari tim (Doppler / Infisical)

./thub secrets pull
Menulis ke .env shared, lalu merge dev otomatis.

Enkripsi .env untuk share via git (dotenvx)

bun add -g @dotenvx/dotenvx
./thub secrets encrypt
  • .env terenkripsi → aman di-commit
  • .env.keysjangan commit; bagikan lewat channel aman
Untuk tim kecil, cukup share .env lewat password manager atau thub secrets pull dari Doppler/Infisical free tier.