secrets/deploy/.env.example

# Secrets v3 环境变量配置
# 复制此文件为 .env 并填写真实值

# ─── 数据库 ───────────────────────────────────────────────────────────
# v3 API 与桌面端都复用这套数据库
SECRETS_DATABASE_URL=postgres://postgres:PASSWORD@db.refining.ltd:5432/secrets-v3
# 强烈建议生产使用 verify-full（至少 verify-ca）
SECRETS_DATABASE_SSL_MODE=verify-full
# 私有 CA 或自建链路时填写 CA 根证书路径；使用公共受信 CA 可留空
# SECRETS_DATABASE_SSL_ROOT_CERT=/etc/secrets/pg-ca.crt
# 当设为 prod/production 时，服务会拒绝弱 TLS 模式（prefer/disable/allow/require）
SECRETS_ENV=production

# ─── 服务地址 ─────────────────────────────────────────────────────────
SECRETS_API_BIND=127.0.0.1:9415
SECRETS_DAEMON_BIND=127.0.0.1:9515
SECRETS_API_BASE=http://127.0.0.1:9415
SECRETS_DAEMON_URL=http://127.0.0.1:9515/mcp

# ─── Google OAuth ─────────────────────────────────────────────────────
# 桌面端优先从这个 installed client JSON 读取 Desktop OAuth 配置
# 推荐填写绝对路径；若使用相对路径，则以仓库根目录为基准解析
GOOGLE_OAUTH_CLIENT_FILE=/absolute/path/to/client_secret_738964258008-0svfo4g7ta347iedrf6r9see87a8u3hn.apps.googleusercontent.com.json
# 若仍无法换 token（仅提供端口代理、无系统代理）：可取消注释并改为本机代理地址
# HTTPS_PROXY=http://127.0.0.1:7890
# NO_PROXY=localhost,127.0.0.1

# ─── 日志（可选）──────────────────────────────────────────────────────
# RUST_LOG=secrets_api=debug,secrets_desktop_daemon=debug

# ─── 数据库连接池（可选）──────────────────────────────────────────────
# 最大连接数，默认 10
# SECRETS_DATABASE_POOL_SIZE=10
# 获取连接超时秒数，默认 5
# SECRETS_DATABASE_ACQUIRE_TIMEOUT=5

# ─── 限流（可选）──────────────────────────────────────────────────────
# 全局限流速率（req/s），默认 100
# RATE_LIMIT_GLOBAL_PER_SECOND=100
# 全局限流突发量，默认 200
# RATE_LIMIT_GLOBAL_BURST=200
# 单 IP 限流速率（req/s），默认 20
# RATE_LIMIT_IP_PER_SECOND=20
# 单 IP 限流突发量，默认 40
# RATE_LIMIT_IP_BURST=40

# ─── 代理信任（可选）─────────────────────────────────────────────────
# 设为 1/true/yes 时从 X-Forwarded-For / X-Real-IP 提取客户端 IP
# 仅在反代环境下启用，否则客户端可伪造 IP 绕过限流
# TRUST_PROXY=1

# 桌面端会在 ~/.secrets-v3/desktop 下持久化 device token 与 device fingerprint