我正在构建一个flask应用程序,并使用dotenv文件将一些变量切换到环境中,例如生产、开发和测试。
AFAIK dotenv主要用于安全目的,所以我应该在开始运行应用程序后从服务器上删除dotenv文件吗
如果是这样,当应用程序关闭时,我需要从某个地方提取dotenv,重新运行应用程序,然后再次删除文件
将dotenv文件留在服务器中可能不是一个好主意,
但从操作的角度来看,以上内容听起来有点烦人。
最佳实践是什么?
保护此文件的正确方法是使用UNIX文件置换。
chmod 600 .env
然后用ls -l .env:检查排列是否正确
-rw------- 1 appuser somegroup 0 Oct 18 01:23 .env
任何使用该用户帐户具有shell访问权限的人都可以读取该文件,但也可以使用set命令查看所有环境变量。采取上述步骤可防止其他系统用户读取该文件。
dotenv的安全方面是,它可以防止您将机密硬编码到.py文件中,这将导致它们被提交到源代码管理。