Stocker les secrets (mots de passe) dans un fichier séparé

Quelle est la façon la plus simple de stocker de l'application des secrets (mots de passe, jetons d'accès) pour un script Python? Je pensais que ça serait un *.yml fichier comme en Ruby, mais étonnamment, j'ai trouvé que ce n'était pas le cas. Donc, qu'est-ce donc? Ce sont les plus simples des solutions?

Je veux les mettre dans un séparé fichier parce que de cette façon je vais être capable de ne pas de pousser ce fichier sur un dépôt github.

InformationsquelleAutor | 2014-08-26
  1. 46

    Je pense que le stockage des informations d'identification à l'intérieur de l'autre *py fichier est votre pari le plus sûr. Puis il suffit de l'importer. Exemple ressemblerait à ceci

    config.py

    username = "xy"
password = "abcd"

    main.py

    import config
login(config.username, config.password)
    • en fait, je veux écrire quelque chose d'aussi bien, que ce soit dans le même fichier ou dans un autre.
    • Sachez que du code arbitraire dans config.py sera exécuté. C'est une préoccupation, surtout si main.py s'exécute dans une autre zone de confiance que config.py.
    • Vous pouvez également pickle un (username, password) tuple à un fichier et de le charger à chaque fois.
    • Aussi, pour avoir la *py extension de fichier sur le fichier des informations d'identification, il serait plus probable pour obtenir poussé à un gh repo par erreur!
    InformationsquelleAutor kecer
  2. 5

    J'avais exactement la même question et en fait fini avec la même solution que kecer suggéré. Car j'ai besoin d'utiliser des dizaines de scripts, j'ai créé une bibliothèque. Permettez-moi de partager cette solution avec vous.

    credlib.py -- bibliothèque universelle pour gérer les informations d'identification

    class credential:
    def __init__(self, hostname, username, password):
        self.hostname = hostname
        self.username = username
        self.password = password

    mycredentials.py -- mon fichier local pour stocker toutes les informations d'identification

    from credlib import credential
sys_prod = credential("srv01", "user", "pass")
sys_stg = credential("srv02", "user", "pass")
sys_db = credential("db01", "userdb", "passdb")

    mysystemlib.py -- c'est un général de la bibliothèque pour accéder à mon système (à la fois de nouvelles informations d'identification du système et de l'héritage est pris en charge)

    from credlib import credential

def system_login(*args): # this is new function definition
#def system_login(hostname, username, password): # this was previous function definition

    if len(args) == 1 and isinstance(args[0], credential):
        hostname = args[0].hostname
        username = args[0].username
        password = args[0].password
    elif len(args) == 3:
        hostname = args[0]
        username = args[1]
        password = args[2]
    else:
        raise ValueError('Invalid arguments')

    do_login(hostname, username, password) # this is original system login call

    main.py -- script principal qui combine les informations d'identification et le système libs

    from mycredentials import sys_stg, sys_db
import mysystemlib
...
mysystemlib.system_login(sys_stg)

    Veuillez noter que l'héritage de nom d'hôte/nom d'utilisateur/mot de passe de manière encore des travaux de sorte qu'il n'affecte pas les anciens scripts:

    mysystemlib.system_login("srv02", "user", "pass")

    Cela a beaucoup d'avantages:

    • mêmes informations d'identification du système dans l'ensemble de nos scripts python
    • fichiers par mot de passe sont séparés (les fichiers peuvent avoir plus strict des autorisations)
    • fichiers ne sont pas stockés dans nos dépôts git (à l'exclusion de la via .gitignore), de sorte que nos scripts python/libs peut être partagé avec d'autres, sans s'exposer à des informations d'identification (chacun définit ses propres informations d'identification dans leurs fichiers locaux)
    • si un mot de passe doit être changé, nous le faisons à un lieu unique que
    • Qu'est-ce que l' .gitignore à la règle de ne PAS obtenir poussé par erreur à un public repo!
    • Dans notre cas, notre règle d'or est au nom de tous les fichiers d'informations d'identification comme " cred_*.py' donc c'est ce que nous avons dans la .gitignore. Bien sûr, cela n'empêche pas une erreur humaine d'enregistrer des fichiers d'informations d'identification avec des noms différents. Cependant, nous n'avons jamais eu un problème avec cela. Le plus important pour nous est de séparer le code et les informations d'identification dans des fichiers séparés.
    InformationsquelleAutor CraZ