本文将介绍如何在使用 Poetry 管理 Python 项目依赖时,安全地从需要身份验证的私有仓库安装软件包。重点讲解了两种避免在配置文件中暴露 token 的方法:利用 POETRY_HTTP_BASIC_* 环境变量以及使用 poetry config 命令将 token安全地存储在 Poetry 的配置中。
在使用 Poetry 管理 Python 项目时,有时我们需要从私有仓库安装软件包,这些仓库通常需要身份验证。一种常见的做法是在 pyproject.toml 文件中配置仓库的 URL,并在 URL 中包含 token。然而,这种做法存在安全风险,因为 token 会暴露在配置文件中。本文将介绍两种更安全的方法来配置 Poetry,使其能够从私有仓库安装软件包,而无需将 token 存储在 pyproject.toml 文件中。
方法一:使用 POETRY_HTTP_BASIC_* 环境变量
Poetry 允许通过环境变量来传递 HTTP Basic 认证的用户名和密码。对于使用 token 进行身份验证的私有仓库,我们可以将 token 作为用户名传递,而密码可以省略。
具体来说,我们需要设置以下环境变量:
- POETRY_HTTP_BASIC_{SOURCE_NAME}_USERNAME:用于指定用户名,这里应该设置为你的 token。
- POETRY_HTTP_BASIC_{SOURCE_NAME}_PASSWORD:用于指定密码,对于 token 认证,可以省略此变量。
其中,{SOURCE_NAME} 是你在 pyproject.toml 文件中定义的源的名称。例如,如果你的 pyproject.toml 文件中有如下配置:
[[tool.poetry.source]]
name = "internal-package"
url = "https://packagecloud.io/{some-domain}"
priority = "supplemental"那么 SOURCE_NAME 就是 INTERNAL_PACKAGE。
你可以通过以下命令来设置环境变量并安装软件包:
POETRY_HTTP_BASIC_INTERNAL_PACKAGE_USERNAME="your_token" poetry install
为了避免每次都手动设置环境变量,你可以将其添加到你的 shell 配置文件(例如 .zshrc 或 .bashrc)中:
export POETRY_HTTP_BASIC_INTERNAL_PACKAGE_USERNAME="your_token"
这样,每次打开新的终端窗口时,环境变量都会自动设置。
1、对ASP内核代码进行DLL封装,从而大大提高了用户的访问速度和安全性;2、采用后台生成HTML网页的格式,使程序访问速度得到进一步的提升;3、用户可发展下级会员并在下级购买商品时获得差额利润;4、全新模板选择功能;5、后台增加磁盘绑定功能;6、后台增加库存查询功能;7、后台增加财务统计功能;8、后台面值类型批量设定;9、后台财务曲线报表显示;10、完善订单功能;11、对所有传输的字符串进行安全
注意事项:
- 确保将 your_token 替换为你实际的 token。
- 将环境变量添加到 shell 配置文件后,需要重新加载配置文件(例如,通过运行 source ~/.zshrc 或 source ~/.bashrc)。
方法二:使用 poetry config 命令
Poetry 提供了一个 config 命令,可以用来配置 Poetry 的各种设置,包括 HTTP Basic 认证信息。我们可以使用 poetry config 命令将 token 安全地存储在 Poetry 的配置中,而无需将其暴露在 pyproject.toml 文件或环境变量中。
要使用 poetry config 命令配置 HTTP Basic 认证信息,可以使用以下命令:
poetry config -- http-basic.internal-package "your_token" ""
其中:
- internal-package 是你在 pyproject.toml 文件中定义的源的名称。
- "your_token" 是你的 token。
- "" 是密码,对于 token 认证,可以将其设置为空字符串。
执行此命令后,Poetry 会将 token 存储在 auth.toml 文件中(通常位于 ~/Library/Application Support/pypoetry/ 目录下)。
注意事项:
- 确保将 your_token 替换为你实际的 token。
- auth.toml 文件包含敏感信息,请确保其权限设置正确,避免被未经授权的用户访问。
总结
本文介绍了两种安全地从私有仓库安装软件包的方法,它们都避免了将 token 存储在 pyproject.toml 文件中。使用 POETRY_HTTP_BASIC_* 环境变量可以在每次安装时动态传递 token,而使用 poetry config 命令可以将 token 安全地存储在 Poetry 的配置中。选择哪种方法取决于你的具体需求和偏好。建议优先考虑使用 poetry config 命令,因为它将 token 存储在 Poetry 的配置中,可以避免将其暴露在环境变量中。
