程式中的敏感資訊如何優雅的處理?
| 導讀 | 我曾經寫過一個用 Python 傳送 html 郵件及附件的程式,分享在了網路上,裡面的收件人沒有做隱藏處理,用的是我自己最常用的郵箱。然後,苦惱隨之而來:我會不停的收到測試郵件(垃圾郵件)。問了其中一個發件人才知道有培訓機構用這個教學,學員什麼都不改直接執行,於是我就不停的收到郵件。 |
你可能不知道敏感資訊硬編碼在程式中會帶來多大的麻煩。
我曾經寫過一個用 Python 傳送 html 郵件及附件的程式,分享在了網路上,裡面的收件人沒有做隱藏處理,用的是我自己最常用的郵箱。然後,苦惱隨之而來:我會不停的收到測試郵件(垃圾郵件)。問了其中一個發件人才知道有培訓機構用這個教學,學員什麼都不改直接執行,於是我就不停的收到郵件。
這點麻煩與洩漏密碼相比,還是小的。就有人不小心把含有使用者名稱密碼的程式上傳到開源網站上。
解決這個問題,就需要讓敏感資訊和程式程式碼解耦,敏感資訊放在一個檔案中,程式程式碼放在另一個檔案中,釋出程式上避免上傳敏感資訊。通常來說,有兩種方式:
你可以使用標準庫 configparser[1] 來解析配置檔案。好處就是你不僅可以讀取配置檔案,還可以更新配置檔案。
比如有這樣的一個 example.ini 配置檔案:
[DEFAULT] ServerAliveInterval = 45 Compression = yes CompressionLevel = 9 ForwardX11 = yes [bitbucket.org] User = hg [topsecret.server.com] Port = 50022 ForwardX11 = no
然後就可以這樣來讀取:
config = configparser.ConfigParser()
config.read('example.ini')
print(config['bitbucket.org']['User'])
你還可以使用一個 python 檔案來當配置檔案,最優雅的方式就是模仿 Django,搞一個預設的 settings.py,和使用者自定義的 settings.py 使用者自定義的配置可以覆蓋預設的配置。這種方式非常簡單,沒有記憶負擔,就像寫 Python 程式碼一樣。
環境變數(environment variables)是指在作業系統中用來指定作業系統執行環境的一些引數,比如說安裝 Python 的過程中是否需要將 Python 可執行程式新增到 Path 中,這個 Path 就是一個環境變數。
在 或 Mac 中,可以這樣列印一個環境變數:
echo $PATH
我們也可以把敏感資訊寫在作業系統的環境變數中,然後用 Python 讀取它:
>>> import os
>>> os.environ["HOME"]
'/Users/aaron'
>>> os.getenv("HOME1111",'/home/aaron')
'/home/aaron'
>>> api_key = os.getenv("SECRET_API_KEY", "Not Exists")
但是這樣做有缺點,你需要先 export key = value 來先設定一個環境變數,或者需要先去 .bashrc、.zshrc 等配置檔案去新增你需要的環境變數,如果名稱相同,可能會影響其他程式用到的同名環境變數。
畢竟優雅的方式就是在專案目錄中新建一個 .env 的環境變數配置檔案,寫入自己的配置資訊,比如 .env 檔案:
PROJECT_ID = "project_id" API_KEY = "api_key"
然後藉助於三方庫 dotenv:
pip install python-dotenv
然後就可以這樣讀取它:
import os
from dotenv import load_dotenv
# load_dotenv 將會查詢一個 .env 檔案,一旦找到,就會載入到環境變數中
load_dotenv()
PROJECT_ID = os.getenv("PROJECT_ID")
API_KEY = os.getenv("API_KEY")
而且這種方式不會影響其他任何程式。還有一點需要注意的是要把 .env 新增到你的 .gitignore。
如果你想對 .env 檔案進行命名,也是可以的,比如說 dev.env,那麼可以這樣寫:
from dotenv import dotenv_values
config = dotenv_values("dev.env")
config.get("PROJECT_ID")
甚至多個 env 檔案也可以:
import os
from dotenv import dotenv_values
config = {
**dotenv_values(".env.shared"), # load shared development variables
**dotenv_values(".env.secret"), # load sensitive variables
**os.environ, # override loaded values with environment variables
}
更多用法請參考python-dotenv[2]
本文介紹了配置檔案和環境變數兩種避免硬編碼敏感資訊的方法,在釋出程式時注意對保護敏感資訊,加入 .gitignore,如果有幫助請點贊、在看、關注支援。
原文來自:
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69955379/viewspace-2837745/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- java優雅的處理程式中的異常Java
- 教你如何優雅處理Golang中的異常Golang
- 如何優雅的在 koa 中處理錯誤
- 如何優雅的處理異常
- 優雅的處理Spring Boot異常資訊Spring Boot
- 如何優雅的在Golang中進行錯誤處理Golang
- [譯]Go如何優雅的處理異常Go
- 如何優雅處理前端異常?前端
- 如何優雅獲的獲取不同系統版本中的程式資訊
- 如何在 Swift 中優雅的處理閉包導致的迴圈引用Swift
- Java 8中處理集合的優雅姿勢——StreamJava
- 如何優雅地處理前端異常?前端
- 程式碼中的敏感資訊加密方案加密
- 如何在 Go 中優雅的處理和返回錯誤(1)——函式內部的錯誤處理Go函式
- 關於laravel的錯誤頁面處理大家都是如何優雅的處理的呢?Laravel
- 前端如何優雅處理類陣列物件?前端陣列物件
- 在 Laravel 中優雅處理 Form 表單LaravelORM
- iOS 如何優雅的處理“回撥地獄Callback hell”(一)iOS
- 【譯】處理 iOS 中複雜的 Table Views 並保持優雅iOSView
- Redux 進階 — 優雅的處理 async actionRedux
- Redux 進階 -- 優雅的處理 async actionRedux
- 如何優雅的替換掉程式碼中的ifelse
- 這樣也行,在lambda表示式中優雅的處理checked exceptionException
- Egg優雅的實現異常處理
- async/await 優雅的錯誤處理方法AI
- React中如何優雅的使用UEditorReact
- Spring Boot 配置中的敏感資訊如何保護?Spring Boot
- 如何優雅的打包前端程式碼前端
- 如何寫出優雅的程式碼?
- iOS如何優雅的處理“回撥地獄Callback hell”(二)——使用SwiftiOSSwift
- iOS如何優雅的處理“回撥地獄Callback hell”(一)——使用PromiseKitiOSPromise
- 如何優雅地改善程式中for迴圈
- Spring 中優雅的獲取泛型資訊Spring泛型
- SpringBoot優雅的全域性異常處理Spring Boot
- Laravel 5.6 中優雅的管理 swoole 程式Laravel
- 優雅的程式碼
- 如何優雅的在flask中記錄logFlask
- 如何在 React 中優雅的使用 addEventListenerReactdev