对于我的一生,我一直在到处寻找这个,但没有找到答案。我希望我没有发布重复。
到处都建议您将密钥保存在与常规 settings.py 不同的文件中。此外,您永远不应该提交包含诸如 SECRET_KEY、AWS_SECRET_KEY 等密钥的“secret.py”文件。
我的问题是:在您的生产服务器中,您需要引用您的密钥,这意味着您的“secret.py”设置文件应该位于服务器周围的某个地方,对吗?如果是这样,您如何在生产中保护您的密钥?
问问题
54493 次
10 回答
66
我想添加一个新答案,因为作为初学者,以前接受的答案对我来说没有多大意义(这只是难题的一部分)。
所以这就是我在本地和生产(Heroku 等)中存储我的密钥的方式。
注意:只有当您计划将项目上线时,您才真正需要这样做。如果只是本地项目,没必要。
我还为喜欢这种格式的人制作了一个视频教程。
1) 安装 python-dotenv 以创建本地项目环境来存储您的密钥。
pip install python-dotenv
2)在您的基本目录中创建一个.env文件(在哪里manage.py)。
YourDjangoProject
├───project
│ ├───__init__.py
│ ├───asgi.py
│ ├───settings.py
│ ├───urls.py
│ └───wsgi.py
├───.env
├───manage.py
└───db.sqlite3
如果你有一个 Heroku 项目,它应该看起来像这样:
YourDjangoProject
├───.git
├───project
│ ├───__init__.py
│ ├───asgi.py
│ ├───settings.py
│ ├───urls.py
│ └───wsgi.py
├───venv
├───.env
├───.gitignore
├───manage.py
├───Procfile
├───requirements.txt
└───runtime.txt
3) 添加.env到您的.gitignore文件中。
echo .env > .gitignore # Or just open your .gitignore and type in .env
这是您保持密钥更安全的方式,因为您不会将 .env 文件上传到 git 或 heroku(或其他任何地方)。
4)将您的 SECRET_KEY 从您的 settings.py 文件添加到 .env 文件中(不带引号)
**Inside of your .env file**
SECRET_KEY=qolwvjicds5p53gvod1pyrz*%2uykjw&a^&c4moab!w=&16ou7 # <- Example key, SECRET_KEY=yoursecretkey
5) 在您的 settings.py 文件中,添加以下设置:
import os
import dotenv # <- New
# Add .env variables anywhere before SECRET_KEY
dotenv_file = os.path.join(BASE_DIR, ".env")
if os.path.isfile(dotenv_file):
dotenv.load_dotenv(dotenv_file)
# UPDATE secret key
SECRET_KEY = os.environ['SECRET_KEY'] # Instead of your actual secret key
或者,感谢@Ashkay Chandran 的回答:
from dotenv import load_dotenv, find_dotenv
load_dotenv(find_dotenv())
SECRET_KEY = os.environ['SECRET_KEY']
现在您的密钥已成功存储在本地。
更新:我发现您也可以使用似乎更容易config的包中的方法:python-decouple
from decouple import config
SECRET_KEY = config('SECRET_KEY')
现在您不需要import os或使用dotenv它,因为它会为您处理这些部分并且仍将使用 .env 文件。我开始在我所有的项目中使用它。
6) 在您的主机(例如 Heroku)上添加 SECRET_KEY 环境变量。
我主要使用 Heroku 站点,因此如果您想将 Heroku 用于 Django 项目,这部分适合您。
这假设您已经有一个 Heroku 项目设置并且已经在您的计算机上下载了 Heroku CLI。
您有 2 个选项:
- 从命令行/终端,您可以在项目目录中输入以下命令:
heroku config:set SECRET_KEY=yoursecretkey # Again, no quotes.
- 您可以转到 Heroku 仪表板,单击您的应用程序,转到您的应用程序设置,然后查看“Config Vars”部分,然后单击“Reveal Vars”或“Add Vars”并在那里添加您的 SECRET_KEY。
然后,当您通过 git 将项目推送到 Heroku 时,它应该可以正常工作,没有任何问题。
就是这样!
这个答案是针对初学者/中级的,希望能消除任何困惑(因为这对我来说绝对是令人困惑的)。
希望这可以帮助!
快乐编码。
于 2020-04-26T08:24:21.843 回答
43
有关此问题的讨论,请参阅Django 部署文档。
生产有很多选择。我这样做的方法是将我的敏感数据变量设置为生产环境中的环境变量。然后我像这样检索通过中的settings.py变量os.environ:
import os
SECRET_KEY = os.environ['SECRET_KEY']
另一种可能的选择是secret.py通过部署脚本复制文件。
我确信对于不同的 Web 服务器还有其他特定选项。
于 2013-03-04T20:03:23.170 回答
12
您应该以模块化方式存储您的设置。我的意思是把你的设置分散到多个文件中。
例如,您可能必须base_settings.py存储所有基本设置;dev_settings.py用于您的开发服务器设置;最后prod_base_settings.py是所有生产设置。所有非基本设置文件将导入所有基本设置,然后只更改必要的内容:
# base_settings.py
...
# dev_settings.py
from base_settings import *
DEBUG = TRUE
...
# prod_base_settings.py
from base_settings import *
DEBUG = FALSE
...
这种方法允许您从不同的设置中获得不同的设置。您还可以提交所有这些文件,除非在生产服务器上您可以创建实际的生产设置文件prod_settings.py,您将在其中指定所有敏感设置。此文件不应在任何地方提交,其内容应保持安全:
# prod_settings.py
from prod_base_settings import *
SECRET_KEY = 'foo'
至于文件名,您可以使用您认为合适的任何文件名。就我个人而言,我实际上为设置创建了一个 Python 包,然后将各种设置保留在包中:
project/
project/
settings/
__init__.py
base.py
dev.py
...
app1/
models.py
...
app2/
models.py
...
于 2013-03-04T20:07:55.320 回答
6
我知道这已经很长时间了,但我刚刚开源了一个小型 Django 应用程序,我正在使用它来生成一个新的密钥,如果它还不存在的话。它被称为django-generate-secret-key。
pip install django-generate-secret-key
然后,在配置/部署运行我的 Django 项目的新服务器时,我运行以下命令(来自 Ansible):
python manage.py generate_secret_key
它很简单:
- 检查是否需要生成密钥
- 在文件中生成它
secretkey.txt(可以自定义)
然后,您所需要的就是在您的设置文件中:
with open('/path/to/the/secretkey.txt') as f:
SECRET_KEY = f.read().strip()
您现在可以从完全自动化的配置过程中受益,而无需在存储库中存储静态密钥。
于 2016-03-13T14:20:50.730 回答
5
您应该使用专为分解敏感数据而设计的工具,而不是 if/then 逻辑。我使用 YamJam https://pypi.python.org/pypi/yamjam/。它具有 os.environ 方法的所有优点,但更简单——您仍然需要设置这些环境变量,您需要将它们放在某个脚本中。YamJam 将这些配置设置存储在机器配置存储中,并且还允许逐个项目覆盖的能力。
from YamJam import yamjam
variable = yamjam()['myproject']['variable']
是基本用法。和 os.environ 方法一样,它不是特定于框架的,您可以将它与 Django 或任何其他应用程序/框架一起使用。我已经尝试了所有这些,多个 settings.py 文件,if/then 的脆弱逻辑和环境争论。最后,我改用了 yamjam 并没有后悔。
于 2014-05-03T16:12:38.420 回答
2
将秘密存储在环境中仍然会将它们置于环境中;如果未经授权的用户可以访问环境,则可以利用它。列出环境变量是一项微不足道的工作,并且命名一个产品对于不良行为者和不受欢迎的用户SECRET来说更加有用和明显。
然而,秘密在生产中是必要的,那么如何在最小化攻击面的同时访问它们呢?使用git-secret 之类的工具加密文件中的每个秘密,然后允许授权用户读取文件,如django 的文档中所述。然后“告诉”非 root 用户秘密,以便在初始化期间可以读入。
(或者,也可以使用 Hashicorp 的 Vault,并通过HVAC python模块访问存储在 Vault 中的秘密。)
一旦告诉这个非 root 用户,这样的事情就很容易了:
# Remember that './secret_key.txt' is encrypted until it's needed, and only read by a non-root user
with open('./secret_key.txt') as f:
SECRET_KEY = f.read().strip()
这并不完美,而且,是的,攻击者可以枚举变量并访问它——但在运行时这样做非常困难,而 Django 在保护其密钥免受这种威胁向量方面做得很好。
这比在环境中存储机密要安全得多。
于 2020-09-18T07:56:32.030 回答
1
添加到zack-plauch的答案中,要获取.env文件的路径,使用python-dotenv modulefind_dotenv时,可以使用该方法,
from dotenv import load_dotenv, find_dotenv
load_dotenv(find_dotenv())
SECRET_KEY = os.environ['SECRET_KEY']
在路径中find_dotenv()查找“ .env ”文件,因此它也可以保存在同一目录中,
此外,如果.env文件使用名称,例如“ django-config.env ” load_dotenv(find_dotenv("django-config.env"),则将获取并将其加载到主机环境变量映射。
于 2020-12-22T15:04:16.243 回答
0
我很惊讶没有人谈论django-environ。我通常会创建一个.env这样的文件:
SECRET_KEY=blabla
OTHER_SECRET=blabla
该文件应添加到.gitignore
您可以签入 git,这是一个示例文件,.env.example只是为了让其他人知道他们需要哪个 env var。文件的内容.env.example看起来像这样(只是没有任何值的键)
SECRET_KEY=
OTHER_SECRETS=
于 2020-10-10T18:44:28.987 回答
0
在哪里存放SECRET_KEYDJANGO
将您的 django 存储
SECRET_KEY在环境变量或单独的文件中,而不是直接编码在您的配置模块 settings.py
settings.py
#from an environment variable
import os
SECRET_KEY = os.environ.get('SECRET_KEY')
#from an file
with open('/etc/secret_key.txt') as f:
SECRET_KEY = f.read().strip()
如何SECRET_KEY手动生成 Django:
$ python -c "from django.core.management.utils import get_random_secret_key; print(get_random_secret_key())"
7^t+3on^bca+t7@)w%2pedaf0m&$_gnne#^s4zk3a%4uu5ly86
import string
import secrets
c = string.ascii_letters + string.digits + string.punctuation
secret_key = ''.join(secrets.choice(c) for i in range(67))
print(secret_key)
df&)ok{ZL^6Up$\y2*">LqHx:D,_f_of#P,~}n&\zs*:y{OTU4CueQNrMz1UH*mhocD
确保生产中使用的密钥没有在其他地方使用,并避免将其发送到源代码控制。
于 2021-06-22T14:20:59.237 回答
-1
django 调试输出将暴露存储在环境变量中的密码。
于 2021-02-08T21:05:13.167 回答