试试 python-dotenv，避免敏感信息被硬编码到代码中

咱们开发的每一个系统都离不开配置信息，例如数据库密码、Redis密码、邮件配置、各类第三方配置信息，这些信息都很是敏感，一旦泄露出去后果很是严重，被泄露的缘由通常是程序员将配置信息和代码混在一块儿致使的。

判断一个系统是否正确地将配置排除在代码以外，一个简单的方法是看该系统的代码是否能够马上开源，而不用担忧会暴露任何敏感信息。

因此咱们作的第一件事情就是将配置信息与代码解耦，根据不一样的部署环境（开发环境、测试环境、预发布、生产环境）各使用一套配置文件，而后将配置信息集中到配置文件中。

例如在 django 最佳实践里面，就有这种作法，每一个部署环境都有一个独立的配置文件，由于每一个部署环境所须要的配置各不相同。

├── settings
│   ├── __init__.py
│   ├── base.py
│   ├── local.py
│   ├── production.py
│   └── test.py
复制代码

系统启动的时候，根据指定的环境变量决定加载哪一个配置文件。

if __name__ == "__main__":
    os.environ.setdefault("DJANGO_SETTINGS_MODULE", "settings.local")复制代码

这样就完了吗？

不，由于配置信息仍是和项目代码捆绑在一块儿，若是配置文件与代码同步到版本控制系统又担忧敏感信息泄露。

前面只是将配置与代码解耦，可是代码与敏感配置信息并无彻底隔离。

一个更好的办法就是将配置存储于环境变量中，环境变量能够很是方便地在不一样的部署间作修改，却不动一行代码，而这些信息同步到代码库的几率微乎其微。

在代码中咱们经过读取环境变量中的配置信息来获取该值。

settings.py
MAIL_SERVER = os.getenv('MAIL_SERVER')
MAIL_USERNAME = os.getenv('MAIL_USERNAME')
MAIL_PASSWORD = os.getenv('MAIL_PASSWORD')复制代码

如今哪怕代码开源出去，也没人知道密码是什么。

将配置信息保存在变量环境中，有好几种方式，一种就是手动在命令行挨个设置到环境变量中，相似于：

EXPORT SECRET_KEY=xxxxx
EXPORT SQLALCHEMY_DATABASE_URI=XXXX
EXPORT ACCESSKEYID=XXXXX复制代码

这种方式很麻烦，每次启动都须要设，虽然你也能够写到相似 .bashrc 这样的文件中。

第二种方式是把配置信息写在supervisor中，若是你的系统是用supervisor来管理进程的话，supervisor 中能够设置环境变量，如：

[program:xxxx]
environment=
        KEY=value,
        Key2=value2,
        key3="val.&"复制代码

可是这种方式与 supervisor 的自己配置耦合在一块儿，用起来比较混乱。

而今天推荐的这个工具 python-dotenv 就能够彻底独立于其它配置，只针对应用自己使用的配置信息，你只须要把配置信息所有写入到项目根目录的 .env 文件中

例如这样：

REDIS_ADDRESS=localhost:6379
MEANING_OF_LIFE=42
MULTILINE_VAR="hello\nworld"复制代码

这个文件咱们不放在git版本控制系统中。而后用一行代码来加载配置信息到环境变量中

# settings.py
from dotenv import load_dotenv
load_dotenv()复制代码

加载完成后就能够经过 os.getenv 方法去获取全部的配置信息。

# settings.py
import os
SECRET_KEY = os.getenv("EMAIL")
DATABASE_PASSWORD = os.getenv("DATABASE_PASSWORD")复制代码

这样就彻底将敏感信息脱离于代码，同时代码与配置也进行了解耦。 python-dov 的安装用普通的pip安装便可

pip install -U python-dotenv复制代码

这种使用方式在 django、flask 应用开发中很常见，并且他们基于此库也作了本身的扩展，例如 flask 中能够用 .flaskenv 来代替 .env 文件。

无