gpt4 book ai didi

python - "Django-insecure"在 Django 的 settings.py 中的 key 中

转载 作者:行者123 更新时间:2023-12-04 11:32:41 24 4
gpt4 key购买 nike

使用 django-admin startproject 创建新项目后我的 settings.py包含:

SECRET_KEY = 'django-insecure <actual secret key>'
我以前从未在 key 中看到“django-insecure”。这是什么意思?

最佳答案

Why is the key insecure, when auto-created? Seems to be much safer than a key thought of by a human.


它是使用众所周知的过程从质量和安全性无法保证的熵源生成的(由 Django)。这是表面上的原因;见 https://docs.djangoproject.com/en/3.2/ref/checks/#security

security.W009: Your SECRET_KEY has less than 50 characters, less than 5 unique characters, or it’s prefixed with 'django-insecure-' indicating that it was generated automatically by Django. Please generate a long and random SECRET_KEY, otherwise many of Django’s security-critical features will be vulnerable to attack.


更重要的是,任何嵌入在设置文件中的 key 的安全性取决于文件系统的访问控制机制。 Django 设置文件是查找 key 的明显位置。
将您的 key 保存在受加密保护的 keystore 或 HSM 中更安全。 ,然后通过环境变量将 Django 的 key 传递给 Django;见 Where to store secret keys DJANGO .
而且,无论您如何管理它们,您都应该使用您控制的硬件和您可以 100% 信任的机制 + 熵源自己生成您的 key 。 (如果您对选择感到迷茫,请考虑掷骰子作为随机数字的来源。)

关于python - "Django-insecure"在 Django 的 settings.py 中的 key 中,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/67240635/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com