使用django-admin startproject 创建一个新项目后,我的settings.py 包含:
SECRET_KEY = 'django-insecure <actual secret key>'
我以前从未在密钥中看到“django-insecure”。这是什么意思?
【问题讨论】:
为什么自动创建的密钥不安全?似乎比人类的关键思想要安全得多。
它是使用众所周知的过程从无法保证质量和安全性的熵源(由 Django)生成的。这是表面上的原因;见https://docs.djangoproject.com/en/3.2/ref/checks/#security
security.W009:你的SECRET_KEY少于50个字符,少于5个唯一字符,或者以'django-insecure-'为前缀表示它是由Django自动生成的。请生成一个长且随机的SECRET_KEY,否则Django的许多安全关键特性将容易受到攻击。
更重要的是,嵌入在设置文件中的任何密钥仅与文件系统的访问控制机制一样安全。 Django 设置文件是查找密钥的明显位置。
将密钥保存在加密安全的密钥库或HSM 中更安全,然后通过环境变量将其密钥传递给 Django;见Where to store secret keys DJANGO。
而且,无论您如何管理它们,您都应该自己使用您控制的硬件和您可以 100% 信任的机制 + 熵源生成您的密钥。 (如果您无法选择,请考虑掷骰子作为随机数字的来源。)
【讨论】:
在 django 3.2 中,最好为生产创建自己的密钥(确保它足够安全)并将其移动到您的环境变量中,并且最好将此不安全的密钥仅用于开发目的。一个安全的 SECRET_KEY 是这样的:
这是一个例子:
import os
SECRET_KEY = os.getenv("SECRET_KEY", "django-insecure <actual secret key>")
【讨论】:
这是一个明显的警告,任何硬编码的密钥从一开始就是不安全的。这个想法是在开发和生产中使用不同的密钥。
您可以使用this one 等在线生成器轻松生成新密钥
在您的服务器上,将您的 SECRET_KEY 添加到环境变量中,并将这些行添加到您的 settings.py 中
import os
SECRET_KEY = os.environ['SECRET_KEY']
我个人不喜欢将密钥保存在文件中,但这也是可能的。
请注意
【讨论】: