Secrets mediante .env

.gitea/workflows/deploy.yml

@@ -17,22 +17,24 @@ jobs:
           # 1. Preparar el cliente SSH
           apt-get update > /dev/null && apt-get install -y openssh-client git > /dev/null
           mkdir -p ~/.ssh
-          # Inyectamos el secreto de la clave SSH directamente aquí
           echo "${{ secrets.PROD_SERVER_SSH_KEY }}" > ~/.ssh/id_rsa
           chmod 600 ~/.ssh/id_rsa
           ssh-keyscan -H ${{ secrets.PROD_SERVER_HOST }} >> ~/.ssh/known_hosts
           
           # 2. Conectarse al HOST y ejecutar todo el proceso allí
-          # ¡¡CAMBIO CLAVE!! Usamos << EOF sin comillas para permitir la expansión de variables.
+          # ¡¡CAMBIO CLAVE!! Usamos << EOF sin comillas para permitir la expansión
+          # de variables del lado del cliente (el job).
           ssh ${{ secrets.PROD_SERVER_USER }}@${{ secrets.PROD_SERVER_HOST }} << EOF
             set -e
 
             # --- PARTE 1: PREPARACIÓN (EN EL HOST) ---
             echo "--- (HOST) Preparing temporary workspace ---"
             
-            # Gitea expandirá estas variables ANTES de enviar el script
+            # Estas variables son reemplazadas por Gitea ANTES de enviar el script.
             TEMP_DIR="/tmp/gitea-build/${{ gitea.run_id }}"
             REPO_NAME_RAW="${{ gitea.repository }}"
+            
+            # Escapamos con '\$' las variables que debe interpretar el shell remoto.
             REPO_NAME=\$(echo "\$REPO_NAME_RAW" | tr '[:upper:]' '[:lower:]')
             GITEA_REPO_PATH="/var/lib/docker/volumes/gitea-stack_gitea-data/_data/git/repositories/\${REPO_NAME}.git"
             
@@ -55,16 +57,21 @@ jobs:
               --context=/workspace --dockerfile=/workspace/Frontend/Dockerfile --no-push \
               --destination=\${REPO_NAME}-frontend:latest --tarPath=/workspace/frontend.tar
 
-            # --- PARTE 3: DESPLEGAR (EN EL HOST) ---
-            echo "--- (HOST) Loading images and deploying... ---"
+            # --- PARTE 3: PREPARAR Y DESPLEGAR (EN EL HOST) ---
+            echo "--- (HOST) Preparing deployment ---"
             
+            # Aquí, las variables de secretos son reemplazadas por Gitea,
+            # creando el archivo .env correctamente en el host.
+            cat <<EOT > /opt/gestion-integral/.env
+DB_SA_PASSWORD=${{ secrets.DB_SA_PASSWORD_SECRET }}
+JWT_KEY=${{ secrets.JWT_KEY_SECRET }}
+EOT
+            
+            echo "Loading images and deploying..."
             docker load < backend.tar
             docker load < frontend.tar
             
             cd /opt/gestion-integral
-            # ¡¡LA CORRECCIÓN ESTÁ AQUÍ!! Inyectamos los secretos directamente en los comandos 'export'.
-            export DB_SA_PASSWORD='${{ secrets.DB_SA_PASSWORD_SECRET }}'
-            export JWT_KEY='${{ secrets.JWT_KEY_SECRET }}'
             docker compose up -d
 
             # --- PARTE 4: LIMPIEZA (EN EL HOST) ---