本文介绍了如何在使用 Poetry 管理 Python 项目依赖时,安全地从需要 token 认证的私有仓库安装包。 重点讲解了如何通过环境变量和 Poetry 配置两种方式,避免将 token 直接暴露在配置文件中,从而提升项目的安全性。 详细步骤包括设置 POETRY_HTTP_BASIC_* 环境变量以及使用 poetry config 命令进行配置。
在 Python 项目开发中,使用 Poetry 进行依赖管理非常方便。 但当需要从私有仓库安装包时,通常需要提供 token 进行身份验证。 如果直接将 token 写入 pyproject.toml 文件,会存在安全风险。 本文将介绍两种更安全的配置方法,避免 token 泄露。
Poetry 支持通过环境变量传递 HTTP Basic 认证信息。 我们可以利用 POETRY_HTTP_BASIC_* 环境变量来设置用户名(即 token)和密码(可以为空)。
具体来说,需要设置以下两个环境变量:
其中,{SOURCE_NAME} 是你在 pyproject.toml 文件中定义的仓库名称。 例如,如果你的 pyproject.toml 文件中有如下配置:
[[tool.poetry.source]]
name = "internal-package"
url = "https://{**some-token**}:@packagecloud.io/{some-domain}"
priority = "supplemental"那么 SOURCE_NAME 就是 INTERNAL_PACKAGE。 因此,你需要执行以下命令来安装包:
POETRY_HTTP_BASIC_INTERNAL_PACKAGE_USERNAME="{**some-token**}" poetry install持久化配置:
为了避免每次执行 poetry install 命令都手动设置环境变量,可以将环境变量添加到 shell 配置文件(例如 .zshrc 或 .bashrc)中:
export POETRY_HTTP_BASIC_INTERNAL_PACKAGE_USERNAME="{**some-token**}"添加后,需要执行 source ~/.zshrc (或 source ~/.bashrc) 使配置生效。 这样,每次打开新的终端窗口,token 都会自动设置。
Poetry 提供了 poetry config 命令,可以将 token 安全地存储在 Poetry 的配置文件中(例如 ~/Library/Application Support/pypoetry/auth.toml)。
执行以下命令来配置 token:
poetry config -- http-basic.internal-package "{**some-token**}" ""注意:最后一个参数是空字符串 "",表示密码为空。
执行此命令后,Poetry 会将 token 安全地存储在配置文件中,后续执行 poetry install 命令时,会自动使用该 token 进行身份验证。
注意事项:
总结:
通过以上两种方法,我们可以安全地配置 Poetry,使其能够从需要 token 认证的私有仓库安装包。 使用环境变量或 poetry config 命令可以有效避免 token 泄露的风险,提升项目的安全性。 选择哪种方法取决于个人偏好和具体场景。 环境变量适合需要临时切换 token 的情况,而 poetry config 命令适合长期使用的 token。 无论选择哪种方法,都应注意保护好自己的 token,避免泄露。
以上就是使用 Poetry 从私有仓库安装包的安全配置教程的详细内容,更多请关注php中文网其它相关文章!
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
887
收藏
