なぜ環境変数を使うのか
ボットのトークンのように実行には必要だけど、一般に公開できない情報を誤って公開しないようにするため
直接書いてしまうと特にGitHubとかでソースを公開していたりするときに、うっかりソースとともに公開しかねない
実際にトークンを自動が収集されていて早ければ数時間程度で見つかってしまう
第三者に見つかって荒らしなどに悪用されると信用を失ったり導入サーバーが減ってしまう
ちなみにAWSとか他の課金できるサービスだと、直接金銭的被害を被ることになる
なぜ設定ファイルじゃなくて環境変数なのか
別にjsonファイルとかで機密情報を管理して、それを読み込むのでも問題はない ただそういったファイルは機密情報以外にもよく使われるから確実に分けるために環境変数を使う慣習がある