这里有几个实用的方案，帮你在不暴露密码的前提下正常启动应用：

方案1：使用本地环境变量文件（.env） #

这是最常用的方式，既安全又方便团队协作：

• 在项目根目录创建一个.env文件，写入你的敏感信息：

  MONGO_USERNAME=your-username
  MONGO_PASSWORD=your-password
  MONGO_HOST=your-url:port
  MONGO_DB=your-db-name
  

• 修改package.json中的start命令，读取环境变量拼接MongoDB地址：

  "scripts": {
    "start": "MONGO_URL='mongodb://$MONGO_USERNAME:$MONGO_PASSWORD@$MONGO_HOST/$MONGO_DB' meteor --settings settings.json"
  }
  

• 将.env文件添加到.gitignore中，确保不会被提交：

  echo ".env" >> .gitignore
  

• 启动前，先加载.env文件的变量（bash/zsh环境下）：

  source .env && npm start
  

  嫌麻烦的话，你可以把这行写成一个简单的run-app.sh脚本，同样加入.gitignore即可。

方案2：创建本地专属启动脚本 #

如果不想折腾环境变量，直接用本地脚本存完整命令：

• 在项目根目录创建start-local.sh（Windows用户用.bat格式）：

  #!/bin/bash
  MONGO_URL='mongodb://USERNAME:PASSWORD@URL:PORT/DB-NAME' meteor --settings settings.json
  

• 给脚本添加执行权限（Linux/macOS环境）：

  chmod +x start-local.sh
  

• 将start-local.sh加入.gitignore，防止提交到版本库。
• 启动时直接运行脚本就行：

  ./start-local.sh
  

方案3：设置系统全局环境变量 #

把密码存在你的系统环境里，完全脱离项目文件：

• 在你的shell配置文件（比如~/.bashrc、~/.zshrc或~/.profile）中添加：

  export MONGO_PASSWORD=your-password
  export MONGO_USERNAME=your-username
  

• 重启终端或者执行source ~/.bashrc（对应你的配置文件）让变量生效。
• 修改package.json的start命令，使用系统环境变量：

  "scripts": {
    "start": "MONGO_URL='mongodb://$MONGO_USERNAME:$MONGO_PASSWORD@URL:PORT/DB-NAME' meteor --settings settings.json"
  }
  

  这样你直接运行npm start就能正常连接数据库，而且package.json里没有任何敏感信息。

额外提示 #

可以给团队成员提供一个.env.example文件，包含变量名但留空值，方便他们快速配置自己的本地环境：

MONGO_USERNAME=
MONGO_PASSWORD=
MONGO_HOST=your-url:port
MONGO_DB=your-db-name

这个示例文件是可以放心提交到版本控制的。

内容的提问来源于stack exchange，提问作者Evanss