企业项目管理、ORK、研发管理与敏捷开发工具平台

网站首页 > 精选文章 正文

Python—优雅地分离代码和敏感信息

wudianyun 2025-01-27 00:39:24 精选文章 29 ℃

为什么要严格代码和配置分离?

所以如果你的代码放在Github这样的外网,万一有一天代码不小心泄露了,你的密码、密钥等配置都暴露在了公网上,这是一件非常可怕的事情。

判断应用程序是否正确地将配置与代码分离的一种简单方法是,你的代码是否可以立即开源,而不必担心暴露任何敏感信息。

通常的做法是将应用程序的配置存储在环境变量中,例如在命令行中添加:

export APP_PASSWORD=123456

然后你通过环境变量加载APP_PASSWORD,例如:

import os

APP_PASSWORD_ENV = os.environ.get("APP_PASSWORD")
print(APP_PASSWORD_ENV)

这样一来,敏感信息就不会暴露给业务代码,同时也会最大限度地让开发者在正式环境中暴露敏感信息。

但是,这里出现了将敏感信息设置为环境变量的问题。如果这样的信息很多,一一设置就太麻烦了。

你肯定希望能够将这些敏感信息保存在单独的文件中,始终与代码分开管理。

例如,在一个flask项目中,我们将敏感信息放在一个名为.flaskenv. 示例 flaskenv 文件如下所示:

FLASK_DEBUG=1
FLASK_ENV=local
FLASK_USER=svc_user1
...

但是这些配置是如何加载到环境变量中的呢?你可以使用名为python-doten模块

安装 python-dotenv

要安装此模块,你可以使用pip

$ pip install python-dotenv
Looking in indexes: https://pypi.python.org/simple
Collecting python-dotenv
  Downloading python_dotenv-0.20.0-py3-none-any.whl (17 kB)
Installing collected packages: python-dotenv
Successfully installed python-dotenv-0.20.0

加载配置文件

如果你的应用程序从环境变量中获取配置,你必须自己设置这些环境变量。

为了帮助你解决这个问题,你可以添加Python-dotenv到你的应用程序以使其在.env文件存在时(例如在开发中)从文件加载配置,同时通过环境保持可配置性:

load_dotenv

from dotenv import load_dotenv 

# 加载文件
load_dotenv(".flaskenv") 

import os 

flask_env = os.environ.get("FLASK_ENV") 
print(flask_env) # local

加载文件后,可以通过os.environ.

默认情况下,load_dotenv不会覆盖现有的环境变量。

dotenv_values

dotenv_values 函数的工作方式或多或少与 load_dotenv 相同,只是它不接触环境,它只返回一个包含从 .env 文件解析的值的字典。

from dotenv import dotenv_values
config = dotenv_values(".env") 
# config = {"USER": "foo", "EMAIL": "foo@example.org"}

如果使用 dotenv_values 函数,则可以避免导入 os 模块。

配置文件格式

一个示例.env文件类似于 BASH:

# 开发设置
DOMAIN=example.org 
ADMIN_EMAIL=admin@${DOMAIN} 
ROOT_URL=${DOMAIN}/app

注意:如果你在值中使用变量,请确保它们用符号{}包起来,例如${DOMAIN},因为$DOMAIN未扩展的裸变量。

键可以不加引号或单引号。值可以不加引号、单引号或双引号。忽略键、等号和值前后的空格。值后面可以跟注释。行可以以export指令开头,这对其解释没有影响。

允许的转义序列:

  • 在单引号值中:\\,\'
  • 在双引号中:\\, \', \", \a, \b, \f, \n, \r, \t,\v

配置最佳实践

我们将使用 Flask 作为我们的示例应用程序。在flask中,python-dotenv可以无缝集成到项目中,只要你的项目中有.envor.flaskenv文件,就会提示你是否安装python-dotenv

$ flask run
 * Tip: There are .env files present. Do "pip install python-dotenv" to use them.

安装完成后python-dotenv,里面的配置文件会自动加载到环境变量中。

# config.py
 class LocalConfig(BaseConfig): 
    ENV = "development" 
    FLASK_DEBUG = 1 
    # 设置数据库 URI
    SQLALCHEMY_DATABASE_URI = os.getenv("SQLALCHEMY_DATABASE_URI") 


# app.py
 def create_app(): 
    app = Flask(__name__) 
    app.config .from_object(LocalConfig) 


# view.py
 def hello(): 
    # 加载环境变量
    os.environ.get("TEST_USER")

注意:你可能要添加.env到你的.gitignore.,特别是如果它包含密码等机密。

Django

如果你是 Django 用户,你仍然可以使用.env文件,只需将以下内容添加到你的settings.py文件中:

from dotenv import load_dotenv 
load_dotenv() # 从 .env 加载配置...安全警告:将生产中使用的密钥保密!
SECRET_KEY = str(os.getenv('SECRET_KEY')) 

# github 的社交身份验证配置
SOCIAL_AUTH_GITHUB_KEY = str(os.getenv('GITHUB_KEY')) 
SOCIAL_AUTH_GITHUB_SECRET = str(os.getenv('GITHUB_SECRET')) 

# 社交身份验证配置应用
SOCIAL_AUTH_GOOGLE_OAUTH2_KEY = str(os.getenv('APP_KEY')) 
SOCIAL_AUTH_GOOGLE_OAUTH2_SECRET = str(os.getenv('APP_SECRET'))


如果你发现我的任何文章有帮助或有用,麻烦点赞或者转发。 谢谢!

Tags:

猜你喜欢

最近发表
标签列表