python - 如何让 Python ssl 模块使用内存中的数据而不是传递文件路径？

Question

完整解释我想做什么以及为什么要花一些时间来解释。基本上，我想在公开分发的应用程序中使用私有(private) SSL 连接，而不是分发我的私有(private) ssl key ，因为这违背了目的! IE。我想要任何人都无法看到的安全远程数据库操作 - 包括客户端。

我的核心问题是:如何让 Python ssl 模块使用保存在内存中的包含 ssl pem 文件内容的数据，而不是它们的硬文件系统路径？

类 SSLSocket 的构造函数调用 load_verify_locations(ca_certs) 和 load_cert_chain(certfile, keyfile) 我无法追踪到它们，因为它们是 .pyd 文件。在那些黑盒子里，我假设这些文件被读入内存。我怎样才能缩短流程并直接传递数据？ (也许换掉 .pyd？...)

我的其他想法是:我可以使用 io.StringIO 创建一个虚拟文件，然后传递文件描述符。我已经将这个概念用于将采用描述符而不是路径的类。不幸的是，这些类不是那样设计的。

或者，也许使用虚拟文件系统/ram 驱动器？但这可能会很麻烦，因为我需要它是跨平台的。另外，如果有人可以从任何外部程序访问这些路径，那可能会否定我正在尝试做的事情......

我想我可以将它们作为真实文件保存，但将它们“隐藏”在文件系统中的某处。

我不可能是第一个遇到这个问题的人。

更新

我找到了“黑匣子”的来源......

https://github.com/python/cpython/blob/master/Modules/_ssl.c

它们按预期工作。他们只是从路径中读取文件内容，但您必须深入到 C 层才能做到这一点。

我可以用 C 语言编写，但我从未尝试过重新编译底层 Python 源代码。看来我应该按照此处的说明进行操作 https://devguide.python.org/拉取 Python 存储库，并进行更改。我想我可以随后将我的更新提交给 Python 社区，看看他们是否想像我描述的那样制作一个新的标准化功能……看来还有很多工作要做……

Answer 1

这需要一些努力，但实际上我确实按照我建议的方式解决了这个问题。我修改了 _ssl.c Python 模块/扩展中的底层代码，并整体重建了 Python。在弄清楚从源代码构建 Python 的过程后，我必须了解如何在 Python 和 C 之间传递变量的细节，并且我需要深入了解 OpenSSL(Python 模块是其包装器)的核心。

幸运的是，OpenSSL 已经有了用于这个确切目的的函数，所以这只是换掉 Python 试图将文件路径传递到 C 的方式，而不是绕过文件读取过程并直接跳转到的实现而是直接使用 ca/cert/key 数据。

目前，我只针对 Windows 执行此操作。因为我最终要创建一个跨平台程序，所以我将不得不为我支持的其他平台重复构建过程——这很麻烦。考虑一下你有多想要它，如果你打算自己追求它......

请注意，当我重建 Python 时，我并没有将其用作实际的 Python 安装。我只是把它放在一边。

这个过程的一个真正好处是，在重建之后，我需要做的就是将单个新的 _ssl.pyd 放到我的工作目录中。有了那个文件，我就可以传递我的直接证书数据。如果我删除它，我可以改为传递正常的文件路径。它将使用普通的 Python 源代码，或者如果 .pyd 文件只是放在程序的目录中，则隐式使用覆盖。