本文介绍了如何在使用 Poetry 管理 Python 项目依赖时,安全地从需要 token 认证的私有仓库安装包。 重点讲解了如何通过环境变量和 Poetry 配置两种方式,避免将 token 直接暴露在配置文件中,从而提升项目的安全性。 详细步骤包括设置 POETRY_HTTP_BASIC_* 环境变量以及使用 poetry config 命令进行配置。
在 Python 项目开发中,使用 Poetry 进行依赖管理非常方便。 但当需要从私有仓库安装包时,通常需要提供 token 进行身份验证。 如果直接将 token 写入 pyproject.toml 文件,会存在安全风险。 本文将介绍两种更安全的配置方法,避免 token 泄露。
1. 使用环境变量配置
Poetry 支持通过环境变量传递 HTTP Basic 认证信息。 我们可以利用 POETRY_HTTP_BASIC_* 环境变量来设置用户名(即 token)和密码(可以为空)。
具体来说,需要设置以下两个环境变量:
- POETRY_HTTP_BASIC_{SOURCE_NAME}_USERNAME: 用于指定用户名,此处应设置为你的 token。
- POETRY_HTTP_BASIC_{SOURCE_NAME}_PASSWORD: 用于指定密码,由于我们使用 token 认证,此变量可以省略或设置为空字符串。
其中,{SOURCE_NAME} 是你在 pyproject.toml 文件中定义的仓库名称。 例如,如果你的 pyproject.toml 文件中有如下配置:
[[tool.poetry.source]]
name = "internal-package"
url = "https://{**some-token**}:@packagecloud.io/{some-domain}"
priority = "supplemental"
那么 SOURCE_NAME 就是 INTERNAL_PACKAGE。 因此,你需要执行以下命令来安装包:
POETRY_HTTP_BASIC_INTERNAL_PACKAGE_USERNAME="{**some-token**}" poetry install
持久化配置:
为了避免每次执行 poetry install 命令都手动设置环境变量,可以将环境变量添加到 shell 配置文件(例如 .zshrc 或 .bashrc)中:
export POETRY_HTTP_BASIC_INTERNAL_PACKAGE_USERNAME="{**some-token**}"
添加后,需要执行 source ~/.zshrc (或 source ~/.bashrc) 使配置生效。 这样,每次打开新的终端窗口,token 都会自动设置。
2. 使用 poetry config 命令配置
Poetry 提供了 poetry config 命令,可以将 token 安全地存储在 Poetry 的配置文件中(例如 ~/Library/Application Support/pypoetry/auth.toml)。
执行以下命令来配置 token:
poetry config -- http-basic.internal-package "{**some-token**}" ""
注意:最后一个参数是空字符串 “”,表示密码为空。
执行此命令后,Poetry 会将 token 安全地存储在配置文件中,后续执行 poetry install 命令时,会自动使用该 token 进行身份验证。
注意事项:
- 安全性: 推荐使用环境变量或 poetry config 命令来配置 token,避免将 token 直接写入 pyproject.toml 文件。
- 环境变量优先级: 如果同时设置了环境变量和 Poetry 配置,环境变量的优先级更高。
- 配置文件位置: Poetry 配置文件的位置取决于操作系统。 例如,在 macOS 上,配置文件位于 ~/Library/Application Support/pypoetry/auth.toml。
总结:
通过以上两种方法,我们可以安全地配置 Poetry,使其能够从需要 token 认证的私有仓库安装包。 使用环境变量或 poetry config 命令可以有效避免 token 泄露的风险,提升项目的安全性。 选择哪种方法取决于个人偏好和具体场景。 环境变量适合需要临时切换 token 的情况,而 poetry config 命令适合长期使用的 token。 无论选择哪种方法,都应注意保护好自己的 token,避免泄露。
暂无评论内容