Guardar las contraseñas y claves en Python

Cada día es más habitual tener que guardar contraseñas o secretos en nuestros desarrollos. Desde las claves de autenticación imprescindibles para consultar diferentes APIs, hasta las credenciales con las que acceder a la base de datos en la cual se guardarán los resultados de las diferentes operaciones realizadas. Secretos que no es buena idea almacenar en el código. Al conservar estos valores en el código tenemos un problema de seguridad ya que cualquiera que pueda acceder al repositorio podrá acceder también a nuestras credenciales. Por otro lado, en caso de que sea necesario actualizar las credenciales nos veríamos obligados a actualizar el código en el que se usa. Por eso es mejor guardar las contraseñas y claves en Python por separado, para lo que podemos usar la herramienta python-decouple.

Instalación de python-decouple

La instalación de python-decouple se puede hacer fácilmente a través de pip, solamente tendremos que escribir en la terminal el siguiente comando.

pip install python-decouple

Una vez hecho esto ya podremos importar la librería en nuestros desarrollos para guardar la información que necesitemos en un archivo .env dentro de nuestro proyecto.

Guardando los secretos en un archivo .env

Una vez instalado python-decouple en el sistema ya se puede separar del código los secreto. Simplemente se tiene que crear un archivo de texto que guardaremos con el nombre .env con todos los secretos necesarios. Archivo que podemos editar con nuestro editor de texto favorito. En el cual podremos un secreto en cada línea igualando el valor a una clave que usaremos para recuperar los datos. Así para guardar un usuario con su contraseña se puede crear un archivo con las siguientes líneas.

user = 'root'
password = '123456'

Un ejemplo en el que he usado una de las peores contraseñas posibles. Ahora en nuestro proyecto de Python, cuando necesitemos acceder a las credenciales, solamente tendremos que importar la función config de decouple con la que podremos leer los valores de nuestro archivo

from decouple import config

user = config('user', default='')
password = config('password', default='')

if user != '' and password != '':
    connect(user, password)

Obteniendo en la variable user el usuario del archivo y en password la contraseña. La opción default asigna el valor indicado en caso de que no se encuentre el archivo de configuración o no exista la clave indicada. Evitando además que el programa se interrumpa ya que la función config lanza un error cuando no puede recuperar un valor, salvo que se indique uno por defecto.

En este punto se puede comprobar tanto el nombre de usuario como la contraseña no son una cadena vacía y usarlas para acceder al servicio.

Evitar que Git guarde el archivo .env

Si estamos trabajando con Git como gestor de versiones es importante agregar el archivo .env al archivo .gitignore para que no suba nunca las credenciales al repositorio. Aunque es habitual que las plantillas para Python de .gitignore incluyan el archivo .env, nunca está de más verificar esto antes de subir los cambios.

Conclusiones

En esta ocasión hemos visto cómo se puede usar la librería python-decouple para guardar las contraseñas y claves en Python en archivos separados de código. Una buena práctica que deberíamos seguir para evitar que otros usuarios con acceso a nuestro código puedan acceder también a las credenciales. Además de ser más eficaces a la hora de actualizar credenciales en producción, ya que sabemos exactamente donde se guardan estas, en el archivo .env, y no tenemos que buscarlas en todo el proyecto. Sin olvidar que también se puede emplear el archivo `.env` para guardar otra información que puede cambiar con el tiempo cómo pueden ser las URL de acceso a los servicios.

Imagen de Tayeb MEZAHDIA en Pixabay