如何优雅的处理程序中的用户名密码等敏感信息

安全 数据安全
我曾经写过一个用 Python 发送 html 邮件及附件的程序,分享在了网络上,里面的收件人没有做隐藏处理,用的是我自己最常用的邮箱。然后,苦恼随之而来:我会不停的收到测试邮件(垃圾邮件)。问了其中一个发件人才知道有培训机构用这个教学,学员什么都不改直接运行,于是我就不停的收到邮件。

 [[427104]]

你可能不知道敏感信息硬编码在程序中会带来多大的麻烦。

我曾经写过一个用 Python 发送 html 邮件及附件的程序,分享在了网络上,里面的收件人没有做隐藏处理,用的是我自己最常用的邮箱。然后,苦恼随之而来:我会不停的收到测试邮件(垃圾邮件)。问了其中一个发件人才知道有培训机构用这个教学,学员什么都不改直接运行,于是我就不停的收到邮件。

这点麻烦与泄漏密码相比,还是小的。就有人不小心把含有用户名密码的程序上传到开源网站上。

解决这个问题,就需要让敏感信息和程序代码解耦,敏感信息放在一个文件中,程序代码放在另一个文件中,发布程序上避免上传敏感信息。通常来说,有两种方式:

1、配置文件。

你可以使用标准库 configparser[1] 来解析配置文件。好处就是你不仅可以读取配置文件,还可以更新配置文件。

比如有这样的一个 example.ini 配置文件:

  1. [DEFAULT
  2. ServerAliveInterval = 45 
  3. Compression = yes 
  4. CompressionLevel = 9 
  5. ForwardX11 = yes 
  6.  
  7. [bitbucket.org] 
  8. User = hg 
  9.  
  10. [topsecret.server.com] 
  11. Port = 50022 
  12. ForwardX11 = no 

然后就可以这样来读取:

  1. config = configparser.ConfigParser() 
  2. config.read('example.ini'
  3. print(config['bitbucket.org']['User']) 

你还可以使用一个 python 文件来当配置文件,最优雅的方式就是模仿 Django,搞一个默认的 settings.py,和用户自定义的 settings.py 用户自定义的配置可以覆盖默认的配置。这种方式非常简单,没有记忆负担,就像写 Python 代码一样。

2、环境变量。

环境变量(environment variables)是指在操作系统中用来指定操作系统运行环境的一些参数,比如说安装 Python 的过程中是否需要将 Python 可执行程序添加到 Path 中,这个 Path 就是一个环境变量。

在 Linux 或 Mac 中,可以这样打印一个环境变量:

  1. echo $PATH 

我们也可以把敏感信息写在操作系统的环境变量中,然后用 Python 读取它:

  1. >>> import os 
  2. >>> os.environ["HOME"
  3. '/Users/aaron' 
  4. >>> os.getenv("HOME1111",'/home/aaron'
  5. '/home/aaron' 
  6. >>> api_key = os.getenv("SECRET_API_KEY""Not Exists")  

但是这样做有缺点,你需要先 export key = value 来先设置一个环境变量,或者需要先去 .bashrc、.zshrc 等配置文件去添加你需要的环境变量,如果名称相同,可能会影响其他程序用到的同名环境变量。

毕竟优雅的方式就是在项目目录中新建一个 .env 的环境变量配置文件,写入自己的配置信息,比如 .env 文件:

  1. PROJECT_ID = "project_id" 
  2. API_KEY = "api_key" 

然后借助于三方库 dotenv:

  1. pip install python-dotenv 

然后就可以这样读取它:

  1. import os 
  2. from dotenv import load_dotenv 
  3.  
  4. # load_dotenv 将会查找一个 .env 文件,一旦找到,就会加载到环境变量中 
  5.  
  6. load_dotenv() 
  7.  
  8. PROJECT_ID = os.getenv("PROJECT_ID"
  9. API_KEY = os.getenv("API_KEY"

而且这种方式不会影响其他任何程序。还有一点需要注意的是要把 .env 添加到你的 .gitignore。

如果你想对 .env 文件进行命名,也是可以的,比如说 dev.env,那么可以这样写:

  1. from dotenv import dotenv_values 
  2. config = dotenv_values("dev.env")   
  3. config.get("PROJECT_ID"

甚至多个 env 文件也可以:

  1. import os 
  2. from dotenv import dotenv_values 
  3.  
  4. config = { 
  5.     **dotenv_values(".env.shared"),  # load shared development variables 
  6.     **dotenv_values(".env.secret"),  # load sensitive variables 
  7.     **os.environ,  # override loaded values with environment variables 

更多用法请参考python-dotenv[2]

最后

本文介绍了配置文件和环境变量两种避免硬编码敏感信息的方法,在发布程序时注意对保护敏感信息,加入 .gitignore,如果有帮助请点赞、在看、关注支持。

责任编辑:武晓燕 来源: Python七号
相关推荐

2022-06-24 08:48:47

用户名密码登录

2009-06-18 15:05:11

2011-07-22 15:01:28

MongoDB权限管理

2009-08-18 13:52:57

Ubuntu用户名密码

2010-02-25 16:09:15

Fedora驱动程序

2024-09-27 12:27:31

2010-09-27 14:48:12

SQL用户名

2010-10-29 11:51:30

oracle用户名

2018-08-27 10:00:29

Linux用户名命令

2010-05-24 14:00:43

Flex Svn

2020-07-11 09:26:16

数据泄露黑客网络攻击

2009-10-26 16:08:40

Oracle默认用户名

2010-05-31 09:10:20

Myeclipse S

2011-09-06 10:36:44

2023-06-06 08:51:06

2014-09-11 09:25:19

2013-05-29 09:47:45

2011-05-26 10:11:24

Oracle数据库索引

2023-10-30 10:40:29

检查用户app注册数据库

2019-08-26 19:24:55

Podman容器Linux
点赞
收藏

51CTO技术栈公众号