Next.js-లో పরిবేশ వేరియబుల్‌లు ఎలా పనిచేస్తాయి?

Question

Accepted Answer

Next.js `.env` ఫైల్‌ల నుండి పరిబేధ వేరియబుల్‌లను లోడ్ చేస్తుంది, ఒక ముఖ్యమైన భద్రతా నియమం ఉంది: వేరియబుల్‌లు **డిఫాల్ట్‌గా సర్వర్-మాత్రమే**, మరియు `NEXT_PUBLIC_` ఉపసర్గ కలిగిన వాటిమాత్రమే బ్రౌజర్‌కు బహిర్గతమవుతాయి.

## ఫైల్‌లు

```text
.env                # loaded in all environments
.env.local          # local overrides — GITIGNORED (put secrets here)
.env.development    # only in `next dev`
.env.production     # only in production builds
```

## క్రిటికల్ ఉపసర్గ నియమం

```bash
# .env.local
DATABASE_URL=postgres://...secret...   # server-only — NEVER sent to the browser
NEXT_PUBLIC_API_URL=https://api.example.com  # exposed to the browser
```

```tsx
// Server Component / Route Handler / Server Action — can read anything
const db = process.env.DATABASE_URL;          // ✅ works on the server

// Client Component — only NEXT_PUBLIC_* are available
"use client";
const api = process.env.NEXT_PUBLIC_API_URL;  // ✅ works
const secret = process.env.DATABASE_URL;      // ❌ undefined in the browser
```

ఈ ఉపసర్గ నియమం ఒక **భద్రతా ఫీచర్**: ఇది డేటాబేస్ పాస్‌వర్డ్‌లు లేదా API సీక్రెట్‌లను అనుకూలంగా క్లায়েంట్‌కు పంపకుండా మీకు నిరోధిస్తుంది. ఉపసర్గ లేని వేరియబుల్ బ్రౌజర్ బండిల్‌లలో కేవలం ఉనికిలో ఉండదు.

## NEXT_PUBLIC_ విలువలు ఎలా ఎంబెడ్ చేయబడతాయి

```text
NEXT_PUBLIC_* are INLINED at BUILD time (baked into the JS bundle).
```

వాటి బిల్డ్ సమయంలో ఇన్‌లైన్ చేయబడినందున, `NEXT_PUBLIC_` విలువను మార్చడానికి **రీబిల్డ్** అవసరమవుతుంది — మరియు ఎప్పుడూ నిజమైన సీక్రెట్‌లను ఉపసర్గ వెనుక ఉంచకూడదు (అవి బండిల్‌లోని ఎవరికైనా కనిపిస్తాయి).

## సర్వోత్తమ ఆచరణలు

```text
✓ Secrets (DB URLs, API keys) → no prefix, kept server-side, in .env.local (gitignored)
✓ Public config (public API base, analytics id) → NEXT_PUBLIC_
✓ Commit a .env.example documenting required vars (no real values)
```

## ఇది ఎందుకు ముఖ్యమైనది

సర్వర్-మాత్రమె-డిఫాల్ట్ మోడల్ `NEXT_PUBLIC_` ఆప్ట్-ఇన్‌తో Next.js యొక్క సీక్రెట్‌లను క్లায়েంట్‌కు లీక్ చేయకుండా రక్షించే సరిహద్దు — ఒక సాధారణ, తీవ్రమైన పొరపాటు.

ఏ వేరియబుల్‌లు బ్రౌజర్‌కు చేరుకుంటాయి, ప్రజా విలువలు బిల్డ్-టైమ్ ఇన్‌లైన్‌డ్‌లు, మరియు సీక్రెట్‌లను ఎక్కడ నిల్వ చేయాలి (gitignored `.env.local`) అని అర్థం చేసుకోవడం ఫంక్షనాలిటీ మరియు భద్రతకు ఎంపిక అవసరమవుతుంది.