Un guide pour gérer correctement les clés API et les variables d'environnement dans les projets Python

? Introduction

Lorsque vous travaillez avec des API en Python, vous devez souvent utiliser des clés API ou d'autres informations d'identification sensibles. Il est crucial de gérer ces clés en toute sécurité pour éviter de divulguer des informations sensibles ou de les transmettre accidentellement à votre référentiel Git.

Pour une démonstration complète, consultez mon référentiel GitHub Secure-API-Key-Handling. Il propose une application de chat Streamlit qui gère en toute sécurité les clés API à l'aide de fichiers .env et du package python-dotenv tout en interagissant avec le modèle Gemini Generative AI. .

? Commencer

Suivez ces étapes pour configurer votre projet pour une gestion sécurisée des clés API :

1. Installer les dépendances

Vous aurez besoin du package python-dotenv pour charger des variables d'environnement à partir d'un fichier .env.

pip install python-dotenv

2. Configurer un fichier .env

Créez un fichier .env à la racine de votre projet, où vous stockerez votre clé API et d'autres variables spécifiques à l'environnement :

# .env
API_KEY=your_api_key_here

Important : Ce fichier .env ne doit jamais être validé dans votre référentiel. Nous allons configurer .gitignore pour nous en assurer.

3. Ajoutez .env à .gitignore

Ajoutez la ligne suivante à votre fichier .gitignore pour vous assurer que .env n'est pas transmis à Git :

# .gitignore
.env

5. Fournissez un fichier .env.example

Pour les autres développeurs travaillant sur votre projet, incluez un fichier .env.example comme modèle :

# .env.example
API_KEY=your_api_key_here

Ce fichier ne contiendra pas de données sensibles, mais il donne un exemple des variables requises pour exécuter le projet. D'autres développeurs peuvent copier ce fichier dans .env et ajouter leurs propres informations d'identification.

cp .env.example .env

? Erreurs courantes à éviter

• Clés API de codage en dur : ne codez jamais en dur des informations sensibles directement dans votre code Python.

# BAD EXAMPLE: Never do this
api_key = "hardcoded_api_key"

• Committing .env files : assurez-vous que .env est toujours inclus dans .gitignore pour éviter de le pousser accidentellement vers le contrôle de version.

• Pushing Virtual Environments : excluez toujours les environnements virtuels (comme venv) de Git :
  

# .gitignore
venv/

? Ressources:

• Référentiel GitHub de gestion sécurisée des clés API
• 8 conseils pour utiliser en toute sécurité les clés API