Django连接Redis、数据库、mongodb密码明文存储问题以及方案

企业开发 2023-05-04 19:07:16 阅读次数: 0

文章目录

DDjango连接Redis、数据库、mongodb密码明文存储问题以及方案

需求背景

密码不应以明文出现在代码或配置文件中。

常见解决方案

在Django连接Redis、数据库、mongodb等时,密码明文存储是一个安全隐患。

在生产环境中,主流的密码安全存储方案是:

  1. 环境变量
    这是最常见的方案。将密码存储在环境变量中,然后在代码或配置文件中读取。优点是:
  • 安全:密码不存在于代码或配置文件中,不会被提交到版本控制系统中
  • 灵活:可以针对不同的环境设置不同的密码

缺点是:

  • 环境变量是明文存储,在一定程度上也存在安全隐患
  • 环境变量管理比较复杂,需要确保在所有环境中都正确设置
  1. 加密存储
    可以对密码进行加密后存储在配置文件中,然后在使用时进行解密。

优点是:

  • 安全:密码以加密形式存储,无法直接读取明文密码
  • 自定义:可以选择不同的加密算法和密钥
  • 本地化:不依赖外部系统, passwords存储在本地

缺点是:

  • 需要管理和保护密钥,密钥的泄露会导致所有密码泄露
  • 可能的性能影响:加密和解密需要一定计算开销
  1. 密钥管理系统
    优点是:
  • 高度安全:密码和密钥由密钥管理系统统一管理和存储
  • 易用:简单的API和CLI可以方便地读写密码
  • 审计:有完整的访问日志审计

缺点是:

  • 额外的复杂度:需要部署和维护密钥管理系统
  • 不同云厂商有不同的密钥管理服务
  1. 硬件安全模块(Hardware Security Module)
    HSM是专用的硬件设备,用于加密密钥的存储和操作。主要优点是:
  • 高度安全:密钥存储在物理隔离的硬件设备中,具有最高级别的安全性
  • 性能:HSM设备专门用于密钥操作,性能远超一般服务器
  • 符合标准:HSM设备通常符合FIPS 140-2或EAL4+的安全认证,满足大多数安全标准的要求

但是,HSM的成本也是最高的,并不适合小型环境或开发环境使用。

Django中redis、数据库密码明文加密存储方案

在Github上,大多数开源Django项目的密码都是以密文形式存储在代码中的,而非明文。这是因为:

扫描二维码关注公众号,回复: 14963591 查看本文章
  1. 如果密码以明文形式出现在公开仓库的代码中,很容易被泄露和滥用。
  2. 上传明文密码不符合安全开发的最佳实践。。
  3. 防止意外提交。如果开发者忘记排除密码文件,就可能意外提交密码到公开仓库。使用密文存储可以避免这种低级错误。
  4. 方便配置管理。很多项目会将这些密文存储在环境变量或配置文件中,而非直接硬编码到代码中。这使得配置和密钥的管理更加灵活方便。

所以,这些项目在上传代码到Github前,通常会采取如下措施对密码进行加密:

  • 生成SECRET_KEY或其他随机密钥,但不上传到Github。
  • 使用该密钥加密密码,并将加密后的密文存储在代码中,如:
    使用SECRET_KEY作为密钥,对db_password进行加密,得到password。
password = 'f.encrypt(SECRET_KEY, db_password.encode())'

在部署或运行项目前,通过环境变量或其他方式向项目传递SECRET_KEY,在运行时解密并使用密码
当需要使用该密码时,可以使用f.decrypt(SECRET_KEY, password)来将password解密,得到原始的db_password

SECRET_KEY和其他敏感配置放在.env文件中,使用django-dotenv加载到项目,但不上传.env文件到Github。

其中.env文件中存储有:

SECRET_KEY=your_secret_key
DB_PASSWORD=your_db_password

.env文件不会上传到Github,密码以密文形式出现在settings.py中,运行项目前需要配置.env文件,这保证了密码的安全性。

settings.py中使用如下代码加载和使用:

import os
from dotenv import load_dotenv

load_dotenv()

SECRET_KEY = os.getenv('SECRET_KEY')
db_password = os.getenv('DB_PASSWORD')

DATABASES = {
    
    
    'default': {
    
    
        'ENGINE': 'django.db.backends.mysql',
        'NAME': 'db_name',
        'USER': 'user',
        'PASSWORD': f.encrypt(SECRET_KEY, db_password.encode()),
    }
}

这种管理敏感配置和密码的方式在开源Django项目中很常见。通过隔离密钥与密码,以及只在运行环境中注入敏感变量,可以很好地兼顾安全性与便捷性。

关于:.env配置文件,可以参考本文python库-dotenv包 | .env配置文件

猜你喜欢

转载自blog.csdn.net/inthat/article/details/130346602
今日推荐
《美国对全球网络空间安全与发展的威胁和破坏》报告发布
火速冲上 GitHub 热榜 —— 开源编程语言、框架哪有这么可爱?
北京人形机器人创新中心发布全球首个纯电驱拟人奔跑的全尺寸人形机器人“天工”
LFOSSA 源来如此公开课 | 掌握云原生未来:CNCF 认证全面攻略与备考秘籍
国产云输入法——仅华为无云端数据上传安全问题
开源日报 | 工业开源项目OGG 1.0;姐姐,你要和我一起配置火狐吗;苹果AI遥遥落后?Fedora 40
周排行
购置笔记本常识
从源码看Spring Security之采坑笔记(Spring Boot篇)
大数据学习——高可用配置案例
如何避免选择不专业的建站公司?
Euclid's Game HDU - 1525(博弈)
面试笔记(六)---Js实现eventHandler
Windows 实例搭建的 FTP 在外网无法连接和访问
设计模式 : 桥接模式
USB 设备驱动开发之几个重要结构体分析
14-p14_sqrt求平方根
每日归档
更多
2024-04-29(40)
2024-04-28(0)
2024-04-27(56)
2024-04-26(39)
2024-04-25(22)
2024-04-24(36)
2024-04-23(26)
2024-04-22(39)
2024-04-21(0)
2024-04-20(6)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022