问题描述
我正在构建一个flask应用程序,并使用dotenv文件将一些变量切换到环境中,例如生产,开发和测试。
AFAIK dotenv主要用于安全目的,因此一旦开始运行应用程序,是否应该从服务器上删除dotenv文件?
如果是这样,当应用程序关闭时,我需要从某个地方拉出dotenv,重新运行该应用程序,然后再次删除该文件。
将dotenv文件保留在服务器中不是一个好主意,
但是从操作的角度来看,以上听起来有些烦人。
最佳做法是什么?
解决方法
保护此文件的正确方法是使用UNIX文件权限。
chmod 600 .env
然后使用ls -l .env检查烫发是否正确:
-rw------- 1 appuser somegroup 0 Oct 18 01:23 .env
任何使用此用户帐户具有shell访问权限的人都可以读取该文件,但也可以使用set命令查看所有环境变量。采取上述步骤可防止其他系统用户读取文件。
dotenv的安全性在于,它可以防止您将机密硬编码到.py文件中,这会导致秘密被提交给源代码管理。