对于我的生活,我一直在寻找这个,并没有找到答案。我希望我不会发布重复文件。
建议您随处将密钥保存在与常规settings.py不同的文件中。此外,您永远不应提交包含诸如SECRET_KEY,AWS_SECRET_KEY等密钥的“secret.py”文件。
我的问题是:在您的生产服务器中,您需要引用您的密钥,这意味着您的“secret.py”设置文件应该位于服务器周围的某个位置吗?如果是这样,您如何在生产中保护您的密钥?
答案 0 :(得分:26)
生产有很多选择。我这样做的方法是将我的敏感数据变量设置为生产环境中的环境变量。然后我通过settings.py检索os.environ.get()中的变量,如下所示:
secret_KEY=os.environ.get('secret_KEY')
另一种可能的选择是通过部署脚本复制secret.py文件。
我确信不同的Web服务器还有其他特定选项。
答案 1 :(得分:11)
我想添加一个新答案,因为作为一个初学者,以前接受的答案对我来说意义不大(这只是难题的一部分)。
所以这是我在本地和生产方式(Heroku等)中存储密钥的方式。
注意:如果您计划将项目置于在线状态,则实际上只需要这样做。如果只是本地项目,则不需要。
1)安装python-dotenv创建一个本地项目环境来存储您的密钥。
pip install python-dotenv
2)在您的基本目录(.env在其中)中创建一个manage.py文件。
YourDjangoProject
├───project
│ ├───__init__.py
│ ├───asgi.py
│ ├───settings.py
│ ├───urls.py
│ └───wsgi.py
├───.env
├───manage.py
└───db.sqlite3
如果您有一个Heroku项目,它应该看起来像这样:
YourDjangoProject
├───.git
├───project
│ ├───__init__.py
│ ├───asgi.py
│ ├───settings.py
│ ├───urls.py
│ └───wsgi.py
├───venv
├───.env
├───.gitignore
├───manage.py
├───Procfile
├───requirements.txt
└───runtime.txt
3)将.env添加到您的.gitignore文件中。
echo .env > .gitignore # Or just open your .gitignore and type in .env
这是确保您的私钥更加安全的方法,因为您没有将.env文件上传到git或heroku(或其他地方)。
4)像这样(不带引号),将您的settings.py文件中的SECRET_KEY添加到.env文件中。
**Inside of your .env file**
SECRET_KEY=qolwvjicds5p53gvod1pyrz*%2uykjw&a^&c4moab!w=&16ou7 # <- Example key, SECRET_KEY=yoursecretkey
5)在您的settings.py文件中,添加以下设置:
import os
import dotenv # <- New
# Add .env variables anywhere before SECRET_KEY
dotenv_file = os.path.join(BASE_DIR, ".env")
if os.path.isfile(dotenv_file):
dotenv.load_dotenv(dotenv_file)
# Update secret key
SECRET_KEY = os.environ['SECRET_KEY'] # Instead of your actual secret key
现在您的秘密密钥已成功存储在本地。
6)在主机(例如Heroku)上添加SECRET_KEY环境变量。
我主要在Heroku网站上工作,因此,如果您想将Heroku用于Django项目,那么本部分适合您。
这假设您已经有一个Heroku项目设置,并且已经在计算机上下载了Heroku CLI。
您有2个选项:
heroku config:set SECRET_KEY=yoursecretkey # Again, no quotes.
然后,当您通过git将项目推送到Heroku时,它应该可以正常工作而没有任何问题。
就是这样! ?
此答案针对初学者/中级人员,以期消除他们的困惑(因为这肯定让我感到困惑)。
希望这会有所帮助!
编码愉快。
答案 2 :(得分:7)
您应该以模块化方式存储设置。我的意思是将您的设置分布在多个文件中。
例如,您可以base_settings.py存储所有基本设置; dev_settings.py用于您的开发服务器设置;最后prod_base_settings.py用于所有生产设置。所有非基本设置文件都将导入所有基本设置,然后只更改所需的任何内容:
# base_settings.py
...
# dev_settings.py
from base_settings import *
DEBUG = TRUE
...
# prod_base_settings.py
from base_settings import *
DEBUG = FALSE
...
此方法允许您从不同的设置中进行不同的设置。您也可以提交所有这些文件,除非在生产服务器上,您可以创建实际的生产设置文件prod_settings.py,您将在其中指定所有敏感设置。此文件不应在任何地方提交,其内容应保密:
# prod_settings.py
from prod_base_settings import *
SECRET_KEY = 'foo'
对于文件名,您可以使用您认为合适的任何文件名。我个人实际上为设置创建了一个Python包,然后将各种设置保存在包中:
project/
project/
settings/
__init__.py
base.py
dev.py
...
app1/
models.py
...
app2/
models.py
...
答案 3 :(得分:4)
而不是if / then逻辑,你应该使用一个专门用于分解敏感数据的工具。我使用YamJam https://pypi.python.org/pypi/yamjam/。它允许os.environ方法的所有优点,但更简单 - 您仍然需要设置这些环境变量,您需要将它们放在某个地方的脚本中。 YamJam将这些配置设置存储在机器配置存储中,并允许按项目能力覆盖项目。
from YamJam import yamjam
variable = yamjam()['myproject']['variable']
是基本用法。和os.environ方法一样,它不是特定于框架的,您可以将它与Django或任何其他应用程序/框架一起使用。我已经尝试了所有这些,多个settings.py文件,if / then的脆弱逻辑和环境争论。最后,我转向yamjam,并没有后悔。
答案 4 :(得分:4)
我知道已经很长时间了,但我只是开源了一个小的Django应用程序,我用它来生成一个新的密钥,如果它还不存在的话。它被称为django-generate-secret-key。
pip install django-generate-secret-key
然后,在配置/部署运行我的Django项目的新服务器时,我运行以下命令(来自Ansible):
python manage.py generate_secret_key
简单地说:
secretkey.txt文件中生成(可以自定义)您只需拥有设置文件:
with open('/path/to/the/secretkey.txt') as f:
SECRET_KEY = f.read().strip()
您现在可以从完全自动化的配置流程中受益,而无需在存储库中存储静态密钥。
答案 5 :(得分:1)
添加到zack-plauch的回答中,
获取.env文件的路径,在使用python-dotenv module时,可以使用find_dotenv方法,
from dotenv import load_dotenv, find_dotenv
load_dotenv(find_dotenv())
SECRET_KEY = os.environ['SECRET_KEY']
find_dotenv() 在路径中查找“.env”文件,因此它也可以保存在同一目录中,
此外,如果名称用于 .env 文件,例如“django-config.env”,load_dotenv(find_dotenv("django-config.env") 将获取并将其加载到主机环境变量映射。
答案 6 :(得分:0)
将秘密存储在环境中仍然会将它们放置在环境中;如果未经授权的用户可以访问环境,则可以利用此漏洞。列出环境变量是一项微不足道的工作,而命名一个SELECT rollno, name, COUNT(*)
FROM mytable
GROUP BY rollno, name
对于一个不好的演员一个不需要的用户来说更有用和明显。
在生产中还需要秘密,那么如何在最小化攻击面的情况下访问它们呢?使用git-secret之类的工具加密文件中的每个机密,然后允许授权用户读取文件,如django's docs中所述。然后“告诉”非root用户这个秘密,以便可以在初始化期间将其读入。
(或者,也可以使用Hashicorp的保险柜,并通过HVAC python模块访问存储在保险柜中的机密。)
一旦告知此非root用户,这很容易:
SELECT CONCAT(rollno, '-', name), COUNT(*)
FROM mytable
GROUP BY CONCAT(rollno, '-', name)
这不是完美的,是的,攻击者可以枚举变量并访问它-但是在运行时很难做到这一点,而Django很好地保护了其密钥免受这种威胁矢量的侵害。
这比在环境中存储秘密要安全得多。
答案 7 :(得分:0)
我很惊讶没有人谈论django-environ。
我通常会这样创建一个.env文件:
SECRET_KEY=blabla
OTHER_SECRET=blabla
此文件应添加到.gitignore
您可以在git中签入一个名为.env.example的示例文件,以让其他人知道他们需要哪个环境变量。 .env.example文件的内容将如下所示(只是没有任何值的键)
SECRET_KEY=
OTHER_SECRETS=
答案 8 :(得分:0)
SECRET_KEY DJANGO将您的 django SECRET_KEY 存储在一个环境变量或单独的文件中,而不是直接编码在您的配置模块 settings.py 中
settings.py
#from an environment variable
import os
SECRET_KEY = os.environ['SECRET_KEY']
#from an file
with open('/etc/secret_key.txt') as f:
SECRET_KEY = f.read().strip()
SECRET_KEY:$ python -c "from django.core.management.utils import get_random_secret_key; print(get_random_secret_key())"
7^t+3on^bca+t7@)w%2pedaf0m&$_gnne#^s4zk3a%4uu5ly86
import string
import secrets
c = string.ascii_letters + string.digits + string.punctuation
secret_key = ''.join(secrets.choice(c) for i in range(67))
print(secret_key)
df&)ok{ZL^6Up$\y2*">LqHx:D,_f_of#P,~}n&\zs*:y{OTU4CueQNrMz1UH*mhocD
确保生产中使用的密钥没有在其他地方使用,避免将其发送到源代码管理。
答案 9 :(得分:-1)
django 调试输出将暴露存储在环境变量中的密码。