读取YAML文件中的Fernet密钥方法

本文针对使用 `cryptography.fernet` 进行数据加密时，从 YAML 文件中读取密钥的问题，提供了一种有效的解决方案。由于 YAML 默认将 Fernet 生成的加密密钥存储为二进制数据，导致直接读取后无法使用。本文详细阐述了如何通过 `base64` 模块对读取到的字节串进行解码，将其转换为字符串格式，以便后续在密码恢复等场景中使用。同时，文章还提供了一个完整的示例，演示了如何生成密钥、存储到 YAML 文件、读取密钥并进行加密解密操作。此外，本文还强调了安全性、YAML 安全加载以及编码一致性等关键注意事项，旨在帮助开发者更安全、高效地管理和使用 Fernet 密钥。阅读本文，您将掌握从 YAML 文件中正确读取和使用 Fernet 密钥字符串的方法，并了解相关的安全实践。

从 YAML 文件读取使用 cryptography.fernet 生成的加密密钥，并将其转换为字符串格式。由于 YAML 默认会将密钥存储为二进制数据，本文将提供解决方案，展示如何正确加载和解码密钥，以便在密码恢复等场景中使用。

从 YAML 文件中读取 Fernet 加密密钥

在使用 cryptography.fernet 进行数据加密时，通常会将生成的密钥存储在配置文件中，例如 YAML 文件。然而，YAML 解析器默认会将密钥识别为二进制数据，这可能导致在后续使用时出现问题。本节将介绍如何从 YAML 文件中正确读取并解码 Fernet 加密密钥。

问题描述

当使用 yaml.load() 方法从 YAML 文件读取密钥时，密钥会被转换为字节串 (bytes) 格式，而不是期望的字符串格式。例如，如果 YAML 文件包含以下内容：

encryption_key: !!binary |
  Rkl5ZVFTQnZhNG1LcVhsSU1LV3FUZzNETGVRcWx0VTQyMzFyRDJlTWR4UT0=
username: Jack
encrypted_password: gAAAAABlXhuUZimgsD1eN7gLZpfzvxKc4Bz9fIPmVhWvwGoKkaUiSWOSf7gkFJBM8XRU-kgn37kKH3KC2XTz-CHLVX2PFerckQ==

使用以下 Python 代码读取密钥：

import yaml

with open("credentials.yml", 'r') as file:
    yaml_data = yaml.safe_load(file) # 使用 safe_load 更安全

print(yaml_data['encryption_key'])

输出结果将是字节串格式：b'FIyeQSBva4mKqXlIMKWqTg3DLeQqltU4231rD2eMdxQ='，而不是字符串格式：Rkl5ZVFTQnZhNG1LcVhsSU1LV3FUZzNETGVRcWx0VTQyMzFyRDJlTWR4UT0=。

解决方案

Fernet 密钥实际上是 Base64 编码的。因此，需要将读取到的字节串进行 Base64 解码，并将其转换为字符串。

以下是修改后的 Python 代码：

import yaml
import base64

with open("credentials.yml", 'r') as file:
    yaml_data = yaml.safe_load(file)

encryption_key_bytes = yaml_data['encryption_key']
encryption_key_string = base64.b64encode(encryption_key_bytes).decode('utf-8')

print(encryption_key_string)

这段代码首先使用 yaml.safe_load() 安全地加载 YAML 文件。然后，它从加载的数据中获取加密密钥的字节串。接下来，使用 base64.b64encode() 将字节串进行 Base64 编码，并使用 .decode('utf-8') 将结果转换为 UTF-8 字符串。

完整示例

以下是一个完整的示例，展示了如何生成 Fernet 密钥，将其存储到 YAML 文件中，然后从 YAML 文件中读取并使用该密钥进行加密和解密：

import yaml
import base64
from cryptography.fernet import Fernet

# 1. 生成 Fernet 密钥
key = Fernet.generate_key()
key_string = base64.b64encode(key).decode('utf-8') # 编码为字符串

# 2. 创建 YAML 数据
data = {
    'encryption_key': key_string,
    'username': 'Alice',
    'encrypted_password': None  # 初始为空
}

# 3. 将数据写入 YAML 文件
with open("credentials.yml", 'w') as file:
    yaml.dump(data, file)

# 4. 从 YAML 文件读取数据
with open("credentials.yml", 'r') as file:
    loaded_data = yaml.safe_load(file)

# 5. 获取密钥并创建 Fernet 对象
encryption_key_string = loaded_data['encryption_key']
encryption_key_bytes = base64.b64decode(encryption_key_string) # 解码为 bytes
fernet = Fernet(encryption_key_bytes)

# 6. 加密和解密示例
message = "This is a secret message!".encode('utf-8')
encrypted_message = fernet.encrypt(message)
decrypted_message = fernet.decrypt(encrypted_message).decode('utf-8')

print("Original message:", message.decode('utf-8'))
print("Encrypted message:", encrypted_message)
print("Decrypted message:", decrypted_message)

注意事项

• 安全性： 请务必妥善保管加密密钥。如果密钥丢失，将无法解密已加密的数据。
• YAML 安全加载： 使用 yaml.safe_load() 而不是 yaml.load() 可以避免潜在的安全风险，特别是当 YAML 文件来自不受信任的来源时。
• 编码一致性： 确保在加密和解密过程中使用相同的编码方式（例如 UTF-8）。
• 异常处理： 在实际应用中，应添加适当的异常处理机制，以处理文件读取、YAML 解析和 Base64 解码过程中可能出现的错误。

总结

本文介绍了如何从 YAML 文件中读取 cryptography.fernet 生成的加密密钥，并将其转换为字符串格式。通过使用 base64 模块进行编码和解码，可以确保密钥以正确的格式加载，以便在密码恢复等场景中使用。同时，强调了安全性、YAML 安全加载和编码一致性等注意事项，以帮助开发者编写更健壮和安全的代码。

理论要掌握，实操不能落！以上关于《读取YAML文件中的Fernet密钥方法》的详细介绍，大家都掌握了吧！如果想要继续提升自己的能力，那么就来关注golang学习网公众号吧！