从 YAML 文件中读取 cryptography.fernet 加密密钥并将其作为字符串使用

本文介绍了如何从 YAML 文件中读取使用 cryptography.fernet 生成的加密密钥，并将其作为字符串使用。由于 YAML 默认会将密钥以二进制格式存储，本文将提供将密钥以字符串形式读取并转换回可用格式的方法，确保在密码恢复等场景中正确使用密钥。

在 Python 中使用 cryptography.fernet 进行数据加密时，通常需要将生成的密钥存储起来，以便后续进行解密操作。一种常见的做法是将密钥存储在 YAML 文件中。然而，YAML 库在读取包含二进制数据的 YAML 文件时，会将密钥自动转换为二进制格式，这可能导致后续使用密钥时出现问题。本教程将介绍如何解决这个问题，确保从 YAML 文件中读取的密钥能够正确地被 cryptography.fernet 使用。

解决方案：使用 Base64 编码

问题的核心在于 YAML 库将密钥识别为二进制数据并进行编码。为了避免这种情况，可以在将密钥写入 YAML 文件之前，先对其进行 Base64 编码，将其转换为字符串。读取时，再将 Base64 编码的字符串解码回原始的二进制格式。

写入 YAML 文件前进行 Base64 编码

以下代码展示了如何在将密钥写入 YAML 文件之前对其进行 Base64 编码：

import yaml
import base64
from cryptography.fernet import Fernet

# 生成密钥
key = Fernet.generate_key()

# 对密钥进行 Base64 编码
key_base64 = base64.b64encode(key).decode('utf-8') # Decode to string

# 创建要写入 YAML 文件的数据
data = {
    'encryption_key': key_base64,
    'username': 'example_user',
    'encrypted_password': 'example_password'
}

# 将数据写入 YAML 文件
with open('credentials.yml', 'w') as file:
    yaml.dump(data, file)

print(f"Key saved as: {key_base64}")

从 YAML 文件读取并解码 Base64 编码的密钥

LogoMaker

免费在线制作Logo，在几分钟内完成标志设计

下载

以下代码展示了如何从 YAML 文件中读取 Base64 编码的密钥，并将其解码回原始的二进制格式，以便 cryptography.fernet 可以使用：

import yaml
import base64
from cryptography.fernet import Fernet

# 从 YAML 文件读取数据
with open('credentials.yml', 'r') as file:
    yaml_data = yaml.safe_load(file) # Use safe_load to prevent arbitrary code execution

# 获取 Base64 编码的密钥
key_base64 = yaml_data['encryption_key']

# 将 Base64 编码的密钥解码为二进制格式
key = base64.b64decode(key_base64)

# 使用密钥进行解密（示例）
f = Fernet(key)
encrypted_password = b'gAAAAABlXhuUZimgsD1eN7gLZpfzvxKc4Bz9fIPmVhWvwGoKkaUiSWOSf7gkFJBM8XRU-kgn37kKH3KC2XTz-CHLVX2PFerckQ==' # Replace with actual encrypted password
decrypted_password = f.decrypt(encrypted_password)

print(f"Decrypted password: {decrypted_password.decode()}")

代码解释：

1. yaml.safe_load(file): 使用 yaml.safe_load 而不是 yaml.load 是为了防止 YAML 文件中包含恶意代码，从而避免潜在的安全风险。safe_load 只加载标准 YAML 类型，不执行任何 Python 代码。
2. base64.b64decode(key_base64): 此函数将 Base64 编码的字符串 key_base64 解码为二进制格式。解码后的密钥 key 可以直接传递给 Fernet 对象。
3. f.decrypt(encrypted_password): 使用解码后的密钥 key 创建一个 Fernet 对象 f，然后使用 f.decrypt() 方法解密 encrypted_password。

注意事项：

• 安全性： 虽然 Base64 编码可以解决 YAML 格式的问题，但它本身并不是一种加密方式。Base64 编码只是将二进制数据转换为文本格式，并没有提供任何安全性。因此，密钥仍然需要安全地存储和管理。
• yaml.safe_load() vs yaml.load(): 始终使用 yaml.safe_load() 来加载 YAML 文件，以防止潜在的安全风险。避免使用 yaml.load()，因为它可能会执行 YAML 文件中包含的任意 Python 代码。
• 字符串编码： 在将密钥进行 Base64 编码后，需要使用 .decode('utf-8') 将其转换为字符串，以便存储在 YAML 文件中。从 YAML 文件读取后，解码回二进制格式时，不需要再进行编码转换。

总结：

通过在写入 YAML 文件之前对密钥进行 Base64 编码，并在读取时进行解码，可以有效地解决 YAML 库将密钥转换为二进制格式的问题。这确保了 cryptography.fernet 能够正确地使用从 YAML 文件中读取的密钥，从而保证了加密和解密操作的顺利进行。同时，请务必注意安全性和使用 yaml.safe_load()。