Next.js .env फाइल्समधून पर्यावरण व्हेरिएबल्स लोड करते, महत्वाच्या सुरक्षा नियमासह: व्हेरिएबल्स डिफ़ॉल्टने केवळ सर्व्हर-केवळ असतात, आणि केवळ NEXT_PUBLIC_ उपसर्गाने सुरु होणारे व्हेरिएबल्स ब्राउজरला उघड केले जातात.
.env # loaded in all environments
.env.local # local overrides — GITIGNORED (put secrets here)
.env.development # only in `next dev`
.env.production # only in production builds
# .env.local
DATABASE_URL=postgres://...secret... # server-only — NEVER sent to the browser
NEXT_PUBLIC_API_URL=https://api.example.com # exposed to the browser
// Server Component / Route Handler / Server Action — can read anything
const db = process.env.DATABASE_URL; // ✅ works on the server
// Client Component — only NEXT_PUBLIC_* are available
"use client";
const api = process.env.NEXT_PUBLIC_API_URL; // ✅ works
const secret = process.env.DATABASE_URL; // ❌ undefined in the browser
हा उपसर्ग नियम एक सुरक्षा वैशिष्ट्य आहे: हे आपल्याला डेटाबेस पासवर्ड्स किंवा API रहस्य अनपेक्षित ग्राहकला पाठवण्यापासून रोखते. एक उपसर्ग नसलेले व्हेरिएबल ब्राउজर बंडल्समध्ये अस्तित्वात नाही.
NEXT_PUBLIC_* are INLINED at BUILD time (baked into the JS bundle).
कारण ते बिल्ड टाइमवर इनलाइन केले जातात, NEXT_PUBLIC_ मूल्य बदलण्यासाठी रीबिल्ड आवश्यक असते — आणि आपण कधीच उपसर्गामागे खरे रहस्य ठेवू नये (ते बंडलमध्ये कोणासही दृश्यमान असतील).
✓ Secrets (DB URLs, API keys) → no prefix, kept server-side, in .env.local (gitignored)
✓ Public config (public API base, analytics id) → NEXT_PUBLIC_
✓ Commit a .env.example documenting required vars (no real values)
NEXT_PUBLIC_ ऑप्ट-इनसह केवळ सर्व्हर-डिफ़ॉल्ट मॉडेल Next.js चा ग्राहकला रहस्य गळणारे रक्षण आहे — एक सामान्य, गंभीर चूक.
कोणते व्हेरिएबल्स ब्राउজरवर पोहोचतात, की सार्वजनिक मूल्यांना बिल्ड टाइमवर इनलाइन केले जातात, आणि रहस्य कोठे संचयित करायचे (git-द्वारे अनदेखील .env.local) हे समजून घेणे कार्यक्षमता आणि सुरक्षा दोन्हीसाठी अत्यावश्यक आहे.