Руководство по правильному управлению ключами API и переменными среды в проектах Python

? Введение

При работе с API в Python часто приходится использовать ключи API или другие конфиденциальные учетные данные. Крайне важно безопасно управлять этими ключами, чтобы избежать утечки конфиденциальной информации или случайной передачи ее в ваш репозиторий Git.

Для полной демонстрации посетите мой репозиторий GitHub Secure-API-Key-Handling. В нем есть приложение для чата Streamlit, которое безопасно управляет ключами API с помощью файлов .env и пакета python-dotenv при взаимодействии с моделью генеративного искусственного интеллекта Gemini. .

? Начиная

Выполните следующие действия, чтобы настроить проект для безопасной обработки ключей API:

1. Установите зависимости

Вам понадобится пакет python-dotenv для загрузки переменных среды из файла .env.

pip install python-dotenv

2. Настройте файл .env.

Создайте файл .env в корне вашего проекта, где вы будете хранить свой ключ API и другие переменные, специфичные для среды:

# .env
API_KEY=your_api_key_here

Важно: Этот файл .env никогда не следует помещать в ваш репозиторий. Для этого мы настроим .gitignore.

3. Добавьте .env в .gitignore.

Добавьте следующую строку в файл .gitignore, чтобы гарантировать, что .env не будет отправлен в Git:

# .gitignore
.env

5. Предоставьте файл .env.example.

Для других разработчиков, работающих над вашим проектом, включите файл .env.example в качестве шаблона:

# .env.example
API_KEY=your_api_key_here

Этот файл не будет содержать конфиденциальных данных, но дает пример переменных, необходимых для запуска проекта. Другие разработчики могут скопировать этот файл в .env и добавить свои учетные данные.

cp .env.example .env

? Распространенные ошибки, которых следует избегать

• Ключи API жесткого кодирования: никогда не кодируйте конфиденциальную информацию непосредственно в коде Python.

# BAD EXAMPLE: Never do this
api_key = "hardcoded_api_key"

• Фиксация файлов .env : убедитесь, что .env всегда включен в .gitignore, чтобы избежать случайной передачи его в систему контроля версий.

• Перенос виртуальных сред: всегда исключайте виртуальные среды (например, venv) из Git:
  

# .gitignore
venv/

? Ресурсы:

• Безопасный репозиторий GitHub для обработки ключей API
• 8 советов по безопасному использованию ключей API