文章目录密码、密钥、配置——生产环境里这些到底放哪导入语1 ~ 基础方案.env 文件 python-decouple1.1 .env 文件格式1.2 settings.py 中使用1.3 .gitignore 中必须有的条目2 ~ 进阶方案django-environ——更丰富的环境管理3 ~ 多环境配置——开发、测试、生产三套隔离4 ~ 生产级方案——Kubernetes Secrets / AWS Parameter Store5 ~ SECRET_KEY 的生成与保护思考 总结结尾密码、密钥、配置——生产环境里这些到底放哪文章简介Django 项目从本地开发推到生产环境第一个让你手足无措的问题“数据库密码放哪”——settings.py里写死了推到 GitHub 仓库别人随便看。环境变量服务器上手动export写了也容易丢。本文从.env文件讲起逐步覆盖django-environ的完整用法、python-decouple的类型转换、以及生产环境中密钥管理的分层策略——开发、测试、生产三套配置如何隔离而不出错。穿插真实事故——实习生把.env推到了公共仓库的 GitHub被爬虫扫描到后数据库被清空。 个人主页源码骑士❄专栏传送门《Android开发基础》《python基础课程》⭐️热衷从源码视角拆解技术底层原理将复杂架构讲得通俗易懂 源码骑士的简介5年Android Framework系统开发经验曾主导多项系统级性能优化专项技术栈覆盖Android系统全链路Binder/Handler/AMS/WMS/启动流程及Java后端全家桶Spring MyBatis Redis Oracle累计产出原创技术文章100篇文章以源码拆解为特色被读者评价为看一篇胜过啃一周文档导入语“数据库密码放哪”——这是 Python Web 开发中最老生常谈但也出错最多的问题。2019 年公司一个实习生在做 Django 项目把.env文件包含数据库密码和 SECRET_KEY连同代码一起git push到了 GitHub 公共仓库。30 分钟后GitHub 的自动扫描工具检测到 AWS 密钥泄露自动通知了我们——但太晚了爬虫脚本已经用那个密码把测试库的数据清空了。幸运的是那只是测试库。从那以后我立了一条铁律——.env必须在.gitignore中第一行声明。1 ~ 基础方案.env文件 python-decouple1.1.env文件格式# .env——不要提交到 GitSECRET_KEYdjango-insecure-abc123xyzDB_NAMEmyprojectDB_USERadminDB_PASSWORDSuperSecret123DB_HOSTlocalhostDB_PORT3306DEBUGFalse1.2settings.py中使用# settings.pyfromdecoupleimportconfig,Csv SECRET_KEYconfig(SECRET_KEY)DEBUGconfig(DEBUG,defaultFalse,castbool)DATABASES{default:{ENGINE:django.db.backends.mysql,NAME:config(DB_NAME),USER:config(DB_USER),PASSWORD:config(DB_PASSWORD),HOST:config(DB_HOST),PORT:config(DB_PORT,castint),}}1.3.gitignore中必须有的条目# 第一行——没有商量的余地 .env # 也可以加这些 *.local secrets.py config/local.py2 ~ 进阶方案django-environ——更丰富的环境管理# settings.pyimportenviron envenviron.Env(DEBUG(bool,False)# 默认值 类型转换)# 读取 .env 文件environ.Env.read_env(os.path.join(BASE_DIR,.env))SECRET_KEYenv(SECRET_KEY)DEBUGenv(DEBUG)DATABASES{default:env.db(),# 一键解析 DATABASE_URL}CACHES{default:env.cache(),# 一键解析 CACHE_URL}3 ~ 多环境配置——开发、测试、生产三套隔离myproject/ ├─ settings/ │ ├─ __init__.py │ ├─ base.py# 所有环境共用的配置│ ├─ development.py# from .base import * 覆盖 Dev 专用配置│ ├─ staging.py# 测试环境│ └─ production.py# 生产环境使用方式# 开发环境exportDJANGO_SETTINGS_MODULEmyproject.settings.development python manage.py runserver# 生产环境exportDJANGO_SETTINGS_MODULEmyproject.settings.production gunicorn myproject.wsgi4 ~ 生产级方案——Kubernetes Secrets / AWS Parameter Store级别方案适合场景个人项目.env文件 .gitignore✅ 足够小团队django-environ 多环境配置✅ 推荐生产集群Kubernetes Secrets✅ 企业管理级别云原生AWS Parameter Store / Azure Key Vault✅ 最高安全级别5 ~SECRET_KEY的生成与保护fromdjango.core.management.utilsimportget_random_secret_keyprint(get_random_secret_key())# 输出类似django-insecure-abc123...SECRET_KEY用于签名 session、CSRF token、密码重置链接。泄漏后攻击者可以伪造任意用户的 session——等于站点的身份系统全毁了。思考 总结密钥管理的三层安全.env不在 Git 中——这是最低安全底线。生产.env和开发.env分开——别让开发机上的调试密码和生产库相同。密钥轮换——敏感服务的密钥建议周期性更换。对于生产环境考虑 KMS 或 Kubernetes Secrets。结尾密钥管理讲完了。感谢阅读源码骑士 — 源码级拆解从底层看透技术关注跟博主一起从源码视角深耕底层原理❤️点赞让优质内容被更多人看见⭐收藏核心知识点存好随用随查评论分享你的经验或疑问一起交流一键四连别忘了给博主一键四连️寄语一行.env进.gitignore能省掉整个公司一夜的灾难。结语密码管理是安全的最低门槛。下篇进入 Docker——Django 项目的容器化部署。一键四连