Next.js .env फाइलों से environment variables लोड करता है, एक महत्वपूर्ण सुरक्षा नियम के साथ: चर डिफ़ॉल्ट रूप से server-only होते हैं, और केवल NEXT_PUBLIC_ के साथ उपसर्ग किए गए चर ब्राउज़र को expose किए जाते हैं।
.env # loaded in all environments
.env.local # local overrides — GITIGNORED (put secrets here)
.env.development # only in `next dev`
.env.production # only in production builds
# .env.local
DATABASE_URL=postgres://...secret... # server-only — NEVER sent to the browser
NEXT_PUBLIC_API_URL=https://api.example.com # exposed to the browser
// Server Component / Route Handler / Server Action — can read anything
const db = process.env.DATABASE_URL; // ✅ works on the server
// Client Component — only NEXT_PUBLIC_* are available
"use client";
const api = process.env.NEXT_PUBLIC_API_URL; // ✅ works
const secret = process.env.DATABASE_URL; // ❌ undefined in the browser
यह उपसर्ग नियम एक सुरक्षा सुविधा है: यह आपको database passwords या API secrets को accidentally client को भेजने से रोकता है। एक गैर-उपसर्ग वाला चर ब्राउज़र bundles में बस मौजूद नहीं होता।
NEXT_PUBLIC_* are INLINED at BUILD time (baked into the JS bundle).
क्योंकि वे build time पर inline होते हैं, NEXT_PUBLIC_ मान को बदलने के लिए rebuild की आवश्यकता होती है — और आपको कभी भी true secrets को उपसर्ग के पीछे नहीं रखना चाहिए (वे bundle में किसी को भी visible होंगे)।
✓ Secrets (DB URLs, API keys) → no prefix, kept server-side, in .env.local (gitignored)
✓ Public config (public API base, analytics id) → NEXT_PUBLIC_
✓ Commit a .env.example documenting required vars (no real values)
Server-only-by-default मॉडल NEXT_PUBLIC_ opt-in के साथ Next.js की secrets को client को leak करने से बचाव है — एक सामान्य, गंभीर गलती।
यह समझना कि कौन से चर ब्राउज़र तक पहुंचते हैं, कि सार्वजनिक चर build-time पर inline होते हैं, और secrets को कहां store करना है (gitignored .env.local) कार्यक्षमता और सुरक्षा दोनों के लिए आवश्यक है।