SECRET_KEY erzeugen
Standardmäßig mit Django-ähnlichem Zeichensatz. In .env speichern und niemals in Git committen.
Leer lassen, um den Zeichensatz der Voreinstellung zu nutzen. Eigene Zeichen werden übernommen.
Manuelles Kopieren (Fallback)
Ein SECRET_KEY pro Zeile.
Verwendung
SECRET_KEY in .env speichern und in settings.py laden, um Leaks zu vermeiden.
Beispiel (settings.py)
import os
SECRET_KEY = os.environ.get("DJANGO_SECRET_KEY", "")
if not SECRET_KEY:
raise RuntimeError("DJANGO_SECRET_KEY is not set")Sicherheit
- Bei Leak sofort rotieren. Rotation kann Sessions und signierte Daten ungültig machen.
- SECRET_KEY nie im Frontend oder in öffentlichen Repos speichern. Env-Variablen oder Secret-Manager nutzen.
- Pro Projekt und Umgebung unterschiedliche SECRET_KEY Werte verwenden.
Über Django SECRET_KEY
In Django wird SECRET_KEY für kryptografische Signaturen genutzt (Sessions, CSRF, Password-Reset Tokens usw.). Es ist nicht das DB-Passwort, muss aber geheim und unvorhersehbar sein.
