Next.js .env ફાઇલોમાંથી environment variables લોડ કરે છે, જેમાં એક મહત્વપૂર્ણ સુરક્ષા નિયમ છે: ચલો default રીતે server-only છે, અને માત્ર તે જ જે NEXT_PUBLIC_ દ્વારા prefix કરાયા હોય તે browser માટે expose થાય છે.
.env # loaded in all environments
.env.local # local overrides — GITIGNORED (put secrets here)
.env.development # only in `next dev`
.env.production # only in production builds
# .env.local
DATABASE_URL=postgres://...secret... # server-only — NEVER sent to the browser
NEXT_PUBLIC_API_URL=https://api.example.com # exposed to the browser
// Server Component / Route Handler / Server Action — can read anything
const db = process.env.DATABASE_URL; // ✅ works on the server
// Client Component — only NEXT_PUBLIC_* are available
"use client";
const api = process.env.NEXT_PUBLIC_API_URL; // ✅ works
const secret = process.env.DATABASE_URL; // ❌ undefined in the browser
યો prefix નિયમ એક સુરક્ષા વૈશિષ્ટ્ય છે: તે તમને database passwords અથવા API secrets client પર accident વડે મોકલવાથી રોકે છે. એક non-prefixed ચલ browser bundles માં સાધારણતઃ અસ્તિત્વમાં નથી.
NEXT_PUBLIC_* are INLINED at BUILD time (baked into the JS bundle).
કારણ કે તેઓ build time પર inline થાય છે, NEXT_PUBLIC_ મૂલ્ય બદલવા માટે rebuild જરૂરી છે — અને તમે कभी true secrets prefix ની પાછળ મૂકવી જોઈએ નહીં (તેઓ bundle માં કોઈને પણ visible હશે).
✓ Secrets (DB URLs, API keys) → no prefix, kept server-side, in .env.local (gitignored)
✓ Public config (public API base, analytics id) → NEXT_PUBLIC_
✓ Commit a .env.example documenting required vars (no real values)
Server-only-by-default મોડલ અને NEXT_PUBLIC_ opt-in એ Next.js ની client માટે secrets leak કરવા સામે રક્ષણ છે — એક સામાન્ય, ગંભીર ભૂલ.
કયા ચલો browser પર પહોંચે છે, કે public ચલો build-time પર inline છે, અને secrets ક્યાં store કરવી જોઈએ (gitignored .env.local) તે સમજવું કાર્યક્ષમતા અને સુરક્ષા બંને માટે આવશ્યક છે.