我曾經寫過一個用 Python 發送 html 郵件及附件的程序,分享在了網絡上,裏面的收件人沒有做隱藏處理,用的是我自己最常用的郵箱。然後,苦惱隨之而來:我會不停的收到測試郵件(垃圾郵件)。問了其中一個發件人才知道有培訓機構用這個教學,學員什麼都不改直接運行,於是我就不停的收到郵件。 |
你可能不知道敏感信息硬編碼在程序中會帶來多大的麻煩。
我曾經寫過一個用 Python 發送 html 郵件及附件的程序,分享在了網絡上,裏面的收件人沒有做隱藏處理,用的是我自己最常用的郵箱。然後,苦惱隨之而來:我會不停的收到測試郵件(垃圾郵件)。問了其中一個發件人才知道有培訓機構用這個教學,學員什麼都不改直接運行,於是我就不停的收到郵件。
這點麻煩與泄漏密碼相比,還是小的。就有人不小心把含有用戶名密碼的程序上傳到開源網站上。
解決這個問題,就需要讓敏感信息和程序代碼解耦,敏感信息放在一個文件中,程序代碼放在另一個文件中,發佈程序上避免上傳敏感信息。通常來說,有兩種方式:
你可以使用標準庫 configparser[1] 來解析配置文件。好處就是你不僅可以讀取配置文件,還可以更新配置文件。
比如有這樣的一個 example.ini 配置文件:
[DEFAULT] ServerAliveInterval = 45 Compression = yes CompressionLevel = 9 ForwardX11 = yes [bitbucket.org] User = hg [topsecret.server.com] Port = 50022 ForwardX11 = no
然後就可以這樣來讀取:
config = configparser.ConfigParser() config.read('example.ini') print(config['bitbucket.org']['User'])
你還可以使用一個 python 文件來當配置文件,最優雅的方式就是模仿 Django,搞一個默認的 settings.py,和用戶自定義的 settings.py 用戶自定義的配置可以覆蓋默認的配置。這種方式非常簡單,沒有記憶負擔,就像寫 Python 代碼一樣。
環境變量(environment variables)是指在操作系統中用來指定操作系統運行環境的一些參數,比如說安裝 Python 的過程中是否需要將 Python 可執行程序添加到 Path 中,這個 Path 就是一個環境變量。
在 Linux 或 Mac 中,可以這樣打印一個環境變量:
echo $PATH
我們也可以把敏感信息寫在操作系統的環境變量中,然後用 Python 讀取它:
>>> import os >>> os.environ["HOME"] '/Users/aaron' >>> os.getenv("HOME1111",'/home/aaron') '/home/aaron' >>> api_key = os.getenv("SECRET_API_KEY", "Not Exists")
但是這樣做有缺點,你需要先 export key = value 來先設置一個環境變量,或者需要先去 .bashrc、.zshrc 等配置文件去添加你需要的環境變量,如果名稱相同,可能會影響其他程序用到的同名環境變量。
畢竟優雅的方式就是在項目目錄中新建一個 .env 的環境變量配置文件,寫入自己的配置信息,比如 .env 文件:
PROJECT_ID = "project_id" API_KEY = "api_key"
然後藉助於三方庫 dotenv:
pip install python-dotenv
然後就可以這樣讀取它:
import os from dotenv import load_dotenv # load_dotenv 將會查找一個 .env 文件,一旦找到,就會加載到環境變量中 load_dotenv() PROJECT_ID = os.getenv("PROJECT_ID") API_KEY = os.getenv("API_KEY")
而且這種方式不會影響其他任何程序。還有一點需要注意的是要把 .env 添加到你的 .gitignore。
如果你想對 .env 文件進行命名,也是可以的,比如說 dev.env,那麼可以這樣寫:
from dotenv import dotenv_values config = dotenv_values("dev.env") config.get("PROJECT_ID")
甚至多個 env 文件也可以:
import os from dotenv import dotenv_values config = { **dotenv_values(".env.shared"), # load shared development variables **dotenv_values(".env.secret"), # load sensitive variables **os.environ, # override loaded values with environment variables }
更多用法請參考python-dotenv[2]
本文介紹了配置文件和環境變量兩種避免硬編碼敏感信息的方法,在發佈程序時注意對保護敏感信息,加入 .gitignore,如果有幫助請點贊、在看、關注支持。
本文地址:https://www.linuxprobe.com/sensitive-information-program.html