跳转到主要内容
hyperlocalise 读取提供程序凭据自:
  • 在您当前的 shell 会话中导出变量。
  • .env.env.local 您当前项目目录中的文件。
优先级:
  • 已经-导出的 shell 变量保持为-是。
  • 对于尚未导出的变量, .env.local 覆盖 .env.
示例: 
export OPENAI_API_KEY="your-openai-api-key"
export AZURE_OPENAI_BASE_URL="https://<resource>.openai.azure.com/openai/v1"
export AZURE_OPENAI_API_KEY="your-azure-openai-api-key"

大型语言模型提供商

OpenAI

export OPENAI_API_KEY="your-openai-api-key"

Azure OpenAI

# Example: https://<resource>.openai.azure.com/openai/v1
export AZURE_OPENAI_BASE_URL="https://<resource>.openai.azure.com/openai/v1"
export AZURE_OPENAI_API_KEY="your-azure-openai-api-key"

双子座

export GEMINI_BASE_URL="https://generativelanguage.googleapis.com/v1beta/openai"
export GEMINI_API_KEY="your-gemini-api-key"

人类学

export ANTHROPIC_BASE_URL="https://api.anthropic.com/v1"
export ANTHROPIC_API_KEY="your-anthropic-api-key"

AWS Bedrock

export AWS_REGION="us-east-1"
export AWS_ACCESS_KEY_ID="your-access-key-id"
export AWS_SECRET_ACCESS_KEY="your-secret-access-key"
# Optional when using temporary credentials:
export AWS_SESSION_TOKEN="your-session-token"

LM 工作室

export LM_STUDIO_BASE_URL="http://127.0.0.1:1234/v1"
export LM_STUDIO_API_KEY="lm-studio"

Ollama

export OLLAMA_BASE_URL="http://127.0.0.1:11434/v1"
export OLLAMA_API_KEY="ollama"

Groq

export GROQ_BASE_URL="https://api.groq.com/openai/v1"
export GROQ_API_KEY="your-groq-api-key"

存储适配器

POEditor

export POEDITOR_API_TOKEN="your-poeditor-token"

轻快

export LILT_API_TOKEN="your-lilt-token"

Lokalise

export LOKALISE_API_TOKEN="your-lokalise-token"

Crowdin

export CROWDIN_API_TOKEN="your-crowdin-token"

Smartling

export SMARTLING_USER_SECRET="your-smartling-user-secret"
Smartling 也要求 storage.config.userIdentifieri18n.jsonc.

安全指南

  • 优先使用环境变量,而不是硬编码的令牌。
  • 保持 .env.env.local 脱离版本控制。
  • 定期更换令牌,并将其权限设置为最小权限。

本地和持续集成的凭证管理标准

对所有远程存储适配器使用此操作模型,包括 Smartling、Lokalise 以及内部自定义适配器。

本地开发

  1. 仅提交非-秘密配置 (*Env 变量名) 至 i18n.jsonc.
  2. 将真实令牌存储在 .env.local (仅限开发者机器).
  3. 添加 .env.env.local.gitignore.
  4. 使用独立的开发和生产 TMS 凭证。

CI 环境

  1. 将秘密存储在您的CI秘密管理器中 (例如,GitHub Actions Secrets).
  2. 仅将密钥注入需要它们的同步作业中。
  3. 将 CI 密钥映射到适配器配置所需的环境变量。
  4. 使用环境-用于生产同步的范围限定密钥和分支保护。

轮换与最小权限原则

  • 按固定时间表轮换令牌 (例如每90天) 以及有关团队成员离职的事项。
  • 为每个TMS工作区或项目创建专用的CI服务用户。
  • 将每个令牌限制为拉取/推送所需的最小 API 范围。
  • 通过运行一次空转来验证旋转-在删除先前的凭据之前运行同步。

审核-友好的日志记录策略

  • 切勿将原始密钥打印到日志、调试输出、截图或问题评论中。
  • 仅记录凭证来源名称 (SMARTLING_USER_SECRET, LOKALISE_API_TOKEN),而不是值。
  • 保持CLI输出为机器格式-可读格式 (--output json--output csv) 用于审计跟踪。
  • 根据您的保留策略存储CI日志并同步工件。

TMS 适配器安全检查清单

启用写入前,请使用此检查清单-已启用的 CI 任务。
  • 所有适配器密钥均通过环境变量提供,而非内联配置。
  • CI 使用专用服务凭证 (无个人访问令牌).
  • 凭据范围仅限于所需的项目和操作。
  • 轮换计划由团队记录和管理。
  • 管道日志不会暴露令牌值。
  • 计划干运行-运行 sync pullsync push 作业运行成功。
  • 如有需要,生产写同步前需手动批准。
相同的检查清单适用于Smartling、Lokalise以及基于存储适配器接口构建的自定义适配器。