我目前正在嘗試為我的密鑰設定安全配置。我正在關注 Miguel Grinberg 的“Flask Web Development”。在第 7 章中,他提供了一個 config.py 檔案的示例。
在 config.py 中,他以下列方式定義了 SECRET_KEY:
Class Config:
SECRET_KEY = os.environ.get('SECRET_KEY') or 'hard to guess string'
根據我的理解,該檔案首先在 ENV 中查找 'SECRET_KEY' 的值,但沒有找到,它提供了一個帶有“難以猜測的字串”的默認 secret_key。
如果我沒有 ENV 定義的 secret_key,這個檔案是否可以安全地提交到存盤庫,或者它會破壞 cookie 的加密嗎?
如果我部署此代碼并使用不包含“SECRET_KEY”的 ENV 運行 Web 應用程式,人們將能夠使用該 secret_key 在我的存盤庫中找到“難以猜測的字串”,對嗎?
uj5u.com熱心網友回復:
避免出錯的最安全方法是洗掉or 'hard to guess string',然后確保.env您的生產環境中的 具有生產密鑰,并且.env您的開發環境中的 使用單獨的密鑰。你會想要添加.env到你的,.gitignore這樣它就不會被意外簽入。
如果您還沒有到達那里,格林伯格python_dotenv在第 15 章中補充道。
轉載請註明出處,本文鏈接:https://www.uj5u.com/yidong/316765.html