生产环境隐藏敏感配置信息方案

Author:闫玉良

项目上线时需要切换生产环境配置信息,这些信息可以直接被保存在项目中吗?如果保存下来,不小心提交到仓库或被破解查看,生产环境岂不是裸奔?那么该如何解决?

更多精彩文章请关注公众号『Pythonnote』或者『全栈技术精选』

1.演示环境

本文以 Flask 项目为例说明,简单环境信息:

1) Flask + Flask-RESTful

2) CentOS

2.方案

一般配置信息都保存在指定目录下,分为测试、开发以及生产。其中测试与开发配置文件的保留,问题不大,关键就是生产环境配置信息如何处理。

1) 可以在 .gitignore 文件中添加忽略文件,使其不被提交到仓库。

虽然不在仓库内,但是配置文件仍然在项目中

2) 可以通过添加环境变量的方式解决。推荐指数5颗星 ~

3.方案实施

可以保留项目中开发(测试)环境配置文件,将需要修改的数据库配置项等单独在生产环境配置文件中重写,并配置环境变量(生产配置文件路径)。然后在项目加载默认配置信息后,通过环境变量引入生产配置信息,从而覆盖掉无用配置,隐藏敏感信息。这样我们的生产信息既不在仓库内,也不在项目中,而是在服务器某个角落。项目中的配置信息都是本地配置项,被人知道也无妨,保留后还能造成迷惑。

3.1 在服务器任意目录下存放生产环境配置信息

生产配置文件 app_deploy.py 中既可以保存 MySQLRedisElasticsearch 数据库集群信息,还可以保存私钥等敏感信息。

比如我们将其存放在如下路径:

1
/root/config/app_deploy.py

3.2 配置环境变量

在部署项目的 shell 脚本中添加如下信息:

1
export TOUTIAO_APP_SETTING=/root/config/app_deploy.py

3.3 设置常量保存环境变量名

在项目如下文件中:

1
.../common/utils/constants.py

添加常量信息:

1
GLOBAL_SETTING_ENV_NAME = 'TOUTIAO_APP_SETTING'

3.4 在项目初始化文件中加载环境变量

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
from flask import Flask


def create_flask_app(config, enable_config_file=False):
"""
创建 Flask 应用
:param config: 配置信息对象
:param enable_config_file: 是否允许运行环境中的配置文件覆盖已加载的配置信息
:return: Flask 应用
"""
app = Flask(__name__)
app.config.from_object(config)
if enable_config_file:
from utils import constants
app.config.from_envvar(constants.GLOBAL_SETTING_ENV_NAME, silent=True)

return app

以上只是本人在实际项目中的一个小应用,可以类比去设置 Django 项目。当然,如果你有更好方法可以后台给小闫留言,不胜感激。

更多精彩文章请关注公众号『Pythonnote』或者『全栈技术精选』

打赏
  • 版权声明: 本博客所有文章除特别声明外,均采用 Apache License 2.0 许可协议。转载请注明出处!
  • 页面访问量: 独立访客访问数:
  • 更多精彩文章请关注微信公众号『全栈技术精选』,id 为『Pythonnote』

请我喝杯咖啡吧~

支付宝
微信