Solucionado
Bom dia, minha dúvida é: Eu clonei o repo do git e com isso nao consigo ver o valor da variavel de ambiente secret key, porém o código funciona. Quais as implicações de subir uma aplicação em prod usando o projeto clonado sem de fato saber o valor da secrets e key? e como alterar ja que nao consigo ver pois esta no .gitignore ?
Olá, Felipe.
Tudo bem?
Usar um template sem saber a SECRET_KEY pode ser problemático, especialmente em um ambiente de produção. A SECRET_KEY é crucial para a segurança do seu projeto Django, pois ela é usada para várias operações criptográficas, como a assinatura de cookies e tokens. Se a SECRET_KEY não for mantida em segredo, pode comprometer a segurança da sua aplicação.
SECRET_KEY adequada:SECRET_KEY é essencial para proteger dados sensíveis. Se a chave não for segura ou for previsível, atacantes podem explorar vulnerabilidades na sua aplicação.SECRET_KEY, como a geração de tokens CSRF, podem ser comprometidas, levando a possíveis ataques de falsificação de solicitações entre sites.SECRET_KEY:Gerar uma nova SECRET_KEY: Você pode usar ferramentas online ou scripts Python para gerar uma nova chave. Por exemplo:
from django.core.management.utils import get_random_secret_key
print(get_random_secret_key())
Configurar a SECRET_KEY como variável de ambiente:
.env na raiz do seu projeto, se ainda não existir.SECRET_KEY ao arquivo .env:SECRET_KEY=suachavesecreta
.env está no seu .gitignore para que não seja enviado ao repositório.Alterar o settings.py para usar a SECRET_KEY do .env:
No seu settings.py, importe as bibliotecas necessárias e carregue a variável de ambiente:
from pathlib import Path
import os
from dotenv import load_dotenv
load_dotenv()
SECRET_KEY = os.getenv('SECRET_KEY')
Esses passos garantirão que sua SECRET_KEY seja segura e não esteja exposta no repositório.
Espero ter ajudado e bons estudos!