Как грамотно скрыть токен?

Question

[nikto_211]

Есть файл
Config.py он содержит:
access_token = "тут сам токен"
И есть файл main.py который читает конфиг через config.access_token
Как мне убрать токен с репозитория, но поместить его в раздел secrets, хочу открыть код, но если уберу токен полностью, то не смогу делать деплой на хероку

Comments

[Дмитрий]

Обычно делают какой нибудь конфиг пример config.dist где указаны настройки, а рабочий конфиг под игнор

[nikto_211]

Дмитрий, Тогда как делать деплой на хероку, если токенов не будет..

[Сергей Кузнецов]

nikto_211, в репозитории в любом случае не стоит хранить секреты, если вы не хотите чтобы о них знали все.
Если бы почитали документацию хероку, то знали бы про то, как передать токен через переменные.
Игорь ниже показал это подробно в в картинках.

[Whain]

Привет, решил ли ты вопрос с селф ботом self_bot=True , если да, то можешь пожалуйста сказать, как?

Answer 1

[igorzakhar]

Пункт меню "Settings" в админке Heroku:



Жмем кнопку "Reveal Config Vars ", добавляем переменные окружения:



Или через Heroku CLI (https://devcenter.heroku.com/articles/config-vars):

heroku config:set GITHUB_USERNAME=joesmith
Adding config vars and restarting myapp... done, v12
GITHUB_USERNAME: joesmith

В коде, для примера:

access_token = os.getenv("ACCESS_TOKEN")
...

Answer 2

[Александр Нестеров]

Сохранить его в переменную окружения heroku и вызывать через:
os.environ['var_name']

Comments

[nikto_211]

А на самом гитхаб нельзя? Есть же Actions secrets Не совсем понял

[Александр Нестеров]

Честно говоря - без понятия. Как-то привык в окружении хранить.
Но вообще, как вариант - создать отдельную ветку с удаленной приватной информацией и открыть доступ к ней.

[nikto_211]

AlexNest, Да я поэтому и спрашиваю, ибо фича есть думаю не просто так

Answer 3

[Dmitriy Grape]

Всю подобную информацию храним в переменных среды сервера, на Heroku так тоже можно.