使用 Poetry 安全地从私有仓库安装包：Token 认证实践

本文档介绍了如何在使用 Poetry 管理 Python 项目时，安全地从需要 token 认证的私有仓库安装软件包。重点讲解了两种推荐的配置方法：利用 POETRY_HTTP_BASIC_* 环境变量以及使用 poetry config 命令设置 token。避免将敏感信息直接写入 pyproject.toml 文件，保障项目安全。

在使用 Poetry 管理 Python 项目时，从私有仓库安装包是常见的需求。然而，直接将 token 写入 pyproject.toml 文件存在安全风险。以下介绍两种更安全的配置方法，避免暴露敏感信息。

方法一：使用 POETRY_HTTP_BASIC_* 环境变量

Poetry 支持通过环境变量传递认证信息，利用 POETRY_HTTP_BASIC_* 环境变量可以安全地配置 token。

具体来说，需要设置以下环境变量：

• POETRY_HTTP_BASIC_{SOURCE_NAME}_USERNAME: 用于指定用户名，在此场景下，应设置为你的 token。
• POETRY_HTTP_BASIC_{SOURCE_NAME}_PASSWORD: 用于指定密码，由于使用的是 token 认证，可以省略此变量。

其中，{SOURCE_NAME} 需要替换为你在 pyproject.toml 中定义的仓库名称。例如，如果你的 pyproject.toml 文件中定义了名为 internal-package 的仓库，如下所示：

[[tool.poetry.source]]
name = "internal-package"
url = "https://packagecloud.io/{some-domain}"
priority = "supplemental"

那么，你需要设置的环境变量就是 POETRY_HTTP_BASIC_INTERNAL_PACKAGE_USERNAME。

示例：

假设你的 token 是 your_secret_token，你可以通过以下命令来安装包：

POETRY_HTTP_BASIC_INTERNAL_PACKAGE_USERNAME="your_secret_token" poetry install

持久化配置：

为了避免每次都手动设置环境变量，可以将以下代码添加到你的 shell 配置文件（例如 .zshrc 或 .bashrc）：

export POETRY_HTTP_BASIC_INTERNAL_PACKAGE_USERNAME="your_secret_token"

这样，每次打开新的终端窗口，token 都会自动生效。请注意替换 your_secret_token 为你的实际 token。

方法二：使用 poetry config 命令

Poetry 允许将 token 保存到配置文件中（通常位于 ~/Library/Application Support/pypoetry/auth.toml，对于 macOS）。

可以使用以下命令来设置 token：

poetry config -- http-basic.internal-package "your_secret_token" ""

注意：

• internal-package 需要替换为你在 pyproject.toml 中定义的仓库名称。
• 最后一个参数 "" 表示空密码。

安全性考虑：

虽然这种方法避免了将 token 写入 pyproject.toml 文件，但仍然将 token 存储在本地配置文件中。因此，需要确保你的本地环境安全，避免泄露配置文件。

总结

以上两种方法都比直接将 token 写入 pyproject.toml 文件更安全。推荐优先使用 POETRY_HTTP_BASIC_* 环境变量，因为它避免了将 token 存储在任何文件中。如果需要持久化配置，可以使用 shell 配置文件，但需要注意保护 shell 配置文件的安全性。使用 poetry config 命令也是一种可行的选择，但需要注意本地环境的安全。在选择方法时，请根据你的实际需求和安全考虑进行权衡。