AppKey e AppToken Segurança

Fala pessoal blz?

Temos um backend middleware vtex-io, e fazemos algumas requisições que precisamos utilizar a AppKey e AppToken, porém, não queremos deixa-las lá diretamente no código, acreditamos ser uma falha de segurança deixar esses dados sensíveis, visíveis no código. Com isso gostaríamos de saber se existe alguma estratégia para “esconder” essas keys, para que só no servidor consiga “vê-las”, e não tê-las explicitas no nosso código.

ps.: Procuramos algo semelhante ao .env, para salvar esses dados em variáveis de ambiente.

Não tenho certeza, mas talvez armazenar no VBase possa ser uma alternativa.

Não temos muita documentação sobre esse serviço, mas basicamente é um armazenamento chave-valor (key value storage) disponível para todas apps do VTEX IO.

É possível restringir acesso ao VBase usando os recursos Vbase Read Only e Vbase Read Write nos Perfis de acesso da sua loja. Assim só poderão ler as credenciais usuários ou sistemas que estejam autenticados na conta e com uma dessas permissões.

Exemplo de como usar: