本文将介绍如何在使用 Poetry 管理 Python 项目依赖时,安全地从需要身份验证的私有仓库安装软件包。重点讲解了两种避免在配置文件中暴露 token 的方法:利用 POETRY_HTTP_BASIC_* 环境变量以及使用 poetry config 命令将 token安全地存储在 Poetry 的配置中。
在使用 Poetry 管理 Python 项目时,有时我们需要从私有仓库安装软件包,这些仓库通常需要身份验证。一种常见的做法是在 pyproject.toml 文件中配置仓库的 URL,并在 URL 中包含 token。然而,这种做法存在安全风险,因为 token 会暴露在配置文件中。本文将介绍两种更安全的方法来配置 Poetry,使其能够从私有仓库安装软件包,而无需将 token 存储在 pyproject.toml 文件中。
方法一:使用 POETRY_HTTP_BASIC_* 环境变量
Poetry 允许通过环境变量来传递 HTTP Basic 认证的用户名和密码。对于使用 token 进行身份验证的私有仓库,我们可以将 token 作为用户名传递,而密码可以省略。
具体来说,我们需要设置以下环境变量:
POETRY_HTTP_BASIC_{SOURCE_NAME}_USERNAME:用于指定用户名,这里应该设置为你的 token。POETRY_HTTP_BASIC_{SOURCE_NAME}_PASSWORD:用于指定密码,对于 token 认证,可以省略此变量。
其中,{SOURCE_NAME} 是你在 pyproject.toml 文件中定义的源的名称。例如,如果你的 pyproject.toml 文件中有如下配置:
[[tool.poetry.source]]name = "internal-package"url = "https://packagecloud.io/{some-domain}"priority = "supplemental"
那么 SOURCE_NAME 就是 INTERNAL_PACKAGE。
你可以通过以下命令来设置环境变量并安装软件包:
POETRY_HTTP_BASIC_INTERNAL_PACKAGE_USERNAME="your_token" poetry install
为了避免每次都手动设置环境变量,你可以将其添加到你的 shell 配置文件(例如 .zshrc 或 .bashrc)中:
export POETRY_HTTP_BASIC_INTERNAL_PACKAGE_USERNAME="your_token"
这样,每次打开新的终端窗口时,环境变量都会自动设置。
注意事项:
确保将 your_token 替换为你实际的 token。将环境变量添加到 shell 配置文件后,需要重新加载配置文件(例如,通过运行 source ~/.zshrc 或 source ~/.bashrc)。
方法二:使用 poetry config 命令
Poetry 提供了一个 config 命令,可以用来配置 Poetry 的各种设置,包括 HTTP Basic 认证信息。我们可以使用 poetry config 命令将 token 安全地存储在 Poetry 的配置中,而无需将其暴露在 pyproject.toml 文件或环境变量中。
要使用 poetry config 命令配置 HTTP Basic 认证信息,可以使用以下命令:
poetry config -- http-basic.internal-package "your_token" ""
其中:
internal-package 是你在 pyproject.toml 文件中定义的源的名称。”your_token” 是你的 token。”” 是密码,对于 token 认证,可以将其设置为空字符串。
执行此命令后,Poetry 会将 token 存储在 auth.toml 文件中(通常位于 ~/Library/Application Support/pypoetry/ 目录下)。
注意事项:
确保将 your_token 替换为你实际的 token。auth.toml 文件包含敏感信息,请确保其权限设置正确,避免被未经授权的用户访问。
总结
本文介绍了两种安全地从私有仓库安装软件包的方法,它们都避免了将 token 存储在 pyproject.toml 文件中。使用 POETRY_HTTP_BASIC_* 环境变量可以在每次安装时动态传递 token,而使用 poetry config 命令可以将 token 安全地存储在 Poetry 的配置中。选择哪种方法取决于你的具体需求和偏好。建议优先考虑使用 poetry config 命令,因为它将 token 存储在 Poetry 的配置中,可以避免将其暴露在环境变量中。
以上就是使用 Poetry 安全地从私有仓库安装包的详细内容,更多请关注创想鸟其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/1366562.html
微信扫一扫 
支付宝扫一扫 
