Entrar Ainda não tem acesso?
Solucionado (ver solução)
Solucionado
(ver solução)
1
resposta

Implicações de usar um template sem saber a secret key

Referente ao curso Django: templates e boas práticas, no capítulo Configurações, Git e GitHub e atividade Variáveis de ambiente

por Felipe Quiroga
| 41.2k xp | 6 posts

Bom dia, minha dúvida é: Eu clonei o repo do git e com isso nao consigo ver o valor da variavel de ambiente secret key, porém o código funciona. Quais as implicações de subir uma aplicação em prod usando o projeto clonado sem de fato saber o valor da secrets e key? e como alterar ja que nao consigo ver pois esta no .gitignore ?

1 resposta
solução!
por Renan Lima
| 3485.6k xp | 7361 posts
Alura Scuba Team Apoio Educacional - Alura

Olá, Felipe.

Tudo bem?

Usar um template sem saber a SECRET_KEY pode ser problemático, especialmente em um ambiente de produção. A SECRET_KEY é crucial para a segurança do seu projeto Django, pois ela é usada para várias operações criptográficas, como a assinatura de cookies e tokens. Se a SECRET_KEY não for mantida em segredo, pode comprometer a segurança da sua aplicação.

Implicações de usar uma aplicação sem a SECRET_KEY adequada:

  1. Segurança: A SECRET_KEY é essencial para proteger dados sensíveis. Se a chave não for segura ou for previsível, atacantes podem explorar vulnerabilidades na sua aplicação.
  2. Integridade dos dados: Operações que dependem da SECRET_KEY, como a geração de tokens CSRF, podem ser comprometidas, levando a possíveis ataques de falsificação de solicitações entre sites.
  3. Autenticação: Tokens de sessão e outros mecanismos de autenticação podem ser vulneráveis, permitindo que invasores se passem por usuários legítimos.

Como alterar a SECRET_KEY:

  1. Gerar uma nova SECRET_KEY: Você pode usar ferramentas online ou scripts Python para gerar uma nova chave. Por exemplo:

    from django.core.management.utils import get_random_secret_key
print(get_random_secret_key())

  2. Configurar a SECRET_KEY como variável de ambiente:

    • Crie um arquivo .env na raiz do seu projeto, se ainda não existir.
    • Adicione a nova SECRET_KEY ao arquivo .env:
      SECRET_KEY=suachavesecreta
    • Certifique-se de que o .env está no seu .gitignore para que não seja enviado ao repositório.

  3. Alterar o settings.py para usar a SECRET_KEY do .env: No seu settings.py, importe as bibliotecas necessárias e carregue a variável de ambiente:

    from pathlib import Path
import os
from dotenv import load_dotenv

load_dotenv()

SECRET_KEY = os.getenv('SECRET_KEY')

Esses passos garantirão que sua SECRET_KEY seja segura e não esteja exposta no repositório.

Espero ter ajudado e bons estudos!