Secret production tidak disimpan di wrangler.jsonc. Non-secret config ada di vars; secret di-push via Wrangler.
Alur
Key wajib vs opsional
File .cloudflare/worker-secrets.keys mendefinisikan:
Wajib (harus terisi sebelum push):
BETTER_AUTH_SECRET
DEEPSEEK_API_KEY
AWS_ACCESS_KEY_ID
AWS_SECRET_ACCESS_KEY
Opsional (fitur mati kalau kosong):
MUX_*, SCALEV_*, RESEND_API_KEY, SERPAPI_API_KEY, dll.
Perintah
./thub secrets generate # buat JSON dari env merged
./thub secrets push # generate + push ke Cloudflare
Manual:
SECRETS_FILE=/path/to/secrets.json ./scripts/sync-worker-secrets.sh
Tarik secret dari tim (Doppler / Infisical)
Menulis ke .env shared, lalu merge dev otomatis.
Enkripsi .env untuk share via git (dotenvx)
bun add -g @dotenvx/dotenvx
./thub secrets encrypt
.env terenkripsi → aman di-commit
.env.keys → jangan commit; bagikan lewat channel aman
Untuk tim kecil, cukup share .env lewat password manager atau thub secrets pull dari Doppler/Infisical free tier.