Eine Anleitung zur ordnungsgemäßen Verwaltung von API-Schlüsseln und Umgebungsvariablen in Python-Projekten

? Einführung

Bei der Arbeit mit APIs in Python müssen Sie häufig API-Schlüssel oder andere vertrauliche Anmeldeinformationen verwenden. Es ist von entscheidender Bedeutung, diese Schlüssel sicher zu verwalten, um zu vermeiden, dass vertrauliche Informationen verloren gehen oder sie versehentlich in Ihr Git-Repository übernommen werden.

Eine vollständige Demonstration finden Sie in meinem GitHub-Repository Secure-API-Key-Handling. Es verfügt über eine Streamlit-Chat-App, die API-Schlüssel mithilfe von .env-Dateien und dem Paket python-dotenv sicher verwaltet, während sie mit dem generativen KI-Modell von Gemini interagiert .

? Erste Schritte

Folgen Sie diesen Schritten, um Ihr Projekt für die sichere API-Schlüsselverarbeitung einzurichten:

1. Abhängigkeiten installieren

Sie benötigen das Paket python-dotenv, um Umgebungsvariablen aus einer .env-Datei zu laden.

pip install python-dotenv

2. Richten Sie eine .env-Datei ein

Erstellen Sie eine .env-Datei in Ihrem Projektstammverzeichnis, in der Sie Ihren API-Schlüssel und andere umgebungsspezifische Variablen speichern:

# .env
API_KEY=your_api_key_here

Wichtig: Diese .env-Datei sollte niemals in Ihr Repository übernommen werden. Wir werden .gitignore konfigurieren, um dies sicherzustellen.

3. Fügen Sie .env zu .gitignore hinzu

Fügen Sie die folgende Zeile zu Ihrer .gitignore-Datei hinzu, um sicherzustellen, dass .env nicht an Git übertragen wird:

# .gitignore
.env

5. Stellen Sie eine .env.example-Datei bereit

Fügen Sie für andere Entwickler, die an Ihrem Projekt arbeiten, eine .env.example-Datei als Vorlage ein:

# .env.example
API_KEY=your_api_key_here

Diese Datei enthält keine vertraulichen Daten, enthält jedoch ein Beispiel für die Variablen, die zum Ausführen des Projekts erforderlich sind. Andere Entwickler können diese Datei nach .env kopieren und ihre eigenen Anmeldeinformationen hinzufügen.

cp .env.example .env

? Häufige Fehler, die es zu vermeiden gilt

• API-Schlüssel fest codieren: Codieren Sie vertrauliche Informationen niemals direkt in Ihrem Python-Code fest.

# BAD EXAMPLE: Never do this
api_key = "hardcoded_api_key"

• Übertragen von .env-Dateien: Stellen Sie sicher, dass .env immer in .gitignore enthalten ist, um zu vermeiden, dass es versehentlich in die Versionskontrolle verschoben wird.

• Virtuelle Umgebungen pushen: Virtuelle Umgebungen (wie venv) immer von Git ausschließen:
  

# .gitignore
venv/

? Ressourcen:

• Sicheres API-Schlüssel-Handling-GitHub-Repository
• 8 Tipps zur sicheren Verwendung von API-Schlüsseln