‚ö° Interm√©diaire | ‚è± 45 min | üîë Concepts : dotenv, os.environ, secrets, gestion cl√©s API

# 9. Secrets et Variables d'Environnement

## Objectifs

- Comprendre pourquoi ne JAMAIS hardcoder les secrets
- Ma√Ætriser os.environ et os.getenv()
- Utiliser python-dotenv pour g√©rer les fichiers .env
- G√©n√©rer des secrets s√©curis√©s avec le module secrets
- Appliquer les principes de la 12-Factor App

## Pr√©requis

- Variables et types de base
- Dictionnaires
- Fichiers (bases)

## 1. Pourquoi NE JAMAIS hardcoder les secrets

### Mauvaises pratiques dangereuses

In [None]:
# ‚ùå JAMAIS FAIRE √áA!
# Ces secrets seront visibles dans:
# - Le code source
# - Git (historique)
# - GitHub/GitLab public
# - Logs et traces

# Mauvais exemple 1: API key hardcod√©e
API_KEY = "sk-1234567890abcdef"  # ‚ùå DANGEREUX!

# Mauvais exemple 2: Mots de passe en clair
DATABASE_PASSWORD = "super_secret_123"  # ‚ùå TR√àS DANGEREUX!

# Mauvais exemple 3: Tokens hardcod√©s
GITHUB_TOKEN = "ghp_xxxxxxxxxxxx"  # ‚ùå DANGEREUX!

print("‚ö†Ô∏è  CES PRATIQUES SONT DANGEREUSES!")
print("\nCons√©quences:")
print("  - Secrets expos√©s sur GitHub")
print("  - Acc√®s non autoris√© √† vos services")
print("  - Co√ªts impr√©vus (utilisation API)")
print("  - Fuite de donn√©es sensibles")
print("  - Violation RGPD")

## 2. os.environ : lire les variables d'environnement

Les variables d'environnement sont d√©finies au niveau du syst√®me ou du shell.

In [None]:
import os

# os.environ est un dictionnaire
print(f"Type: {type(os.environ)}")
print(f"Nombre de variables: {len(os.environ)}")

# Quelques variables syst√®me courantes
variables_communes = ['PATH', 'HOME', 'USER', 'SHELL']

print("\nVariables syst√®me courantes:")
for var in variables_communes:
    if var in os.environ:
        valeur = os.environ[var]
        # Tronquer les valeurs longues
        if len(valeur) > 50:
            valeur = valeur[:50] + "..."
        print(f"  {var}: {valeur}")

# Acc√®s direct (g√©n√®re KeyError si absent)
try:
    api_key = os.environ['MA_CLE_API']
except KeyError:
    print("\n‚ö†Ô∏è  MA_CLE_API n'existe pas (normal)")

## 3. os.getenv() : lecture avec valeur par d√©faut

Pr√©f√©rer `os.getenv()` √† `os.environ[]` pour √©viter les erreurs.

In [None]:
import os

# os.getenv() retourne None si la variable n'existe pas
api_key = os.getenv('MA_CLE_API')
print(f"API Key: {api_key}")  # None

# Avec valeur par d√©faut
host = os.getenv('DATABASE_HOST', 'localhost')
port = os.getenv('DATABASE_PORT', '5432')
debug = os.getenv('DEBUG', 'False')

print(f"\nConfiguration (valeurs par d√©faut):")
print(f"  Host: {host}")
print(f"  Port: {port}")
print(f"  Debug: {debug}")

# IMPORTANT: Les variables d'environnement sont toujours des strings!
print(f"\nType de debug: {type(debug)}")

# Conversion n√©cessaire
debug_bool = debug.lower() == 'true'
port_int = int(port)

print(f"\nApr√®s conversion:")
print(f"  debug_bool: {debug_bool} (type: {type(debug_bool).__name__})")
print(f"  port_int: {port_int} (type: {type(port_int).__name__})")

## 4. D√©finir des variables d'environnement

Plusieurs m√©thodes selon le contexte.

In [None]:
import os

# 1. Dans le code (temporaire, pour le processus actuel)
os.environ['MA_VARIABLE'] = 'ma_valeur'
print(f"MA_VARIABLE: {os.getenv('MA_VARIABLE')}")

# 2. Dans le shell (avant de lancer Python)
# Linux/macOS:
print("\nDans le shell (Linux/macOS):")
print("  export DATABASE_HOST=localhost")
print("  export DATABASE_PORT=5432")
print("  python mon_script.py")

# Windows (CMD):
print("\nWindows (CMD):")
print("  set DATABASE_HOST=localhost")
print("  set DATABASE_PORT=5432")
print("  python mon_script.py")

# Windows (PowerShell):
print("\nWindows (PowerShell):")
print("  $env:DATABASE_HOST='localhost'")
print("  $env:DATABASE_PORT='5432'")
print("  python mon_script.py")

# 3. En une ligne (Linux/macOS)
print("\nEn une ligne:")
print("  DATABASE_HOST=localhost python mon_script.py")

# 4. Avec un fichier .env (RECOMMAND√â) - voir section suivante

## 5. Fichiers .env : format et conventions

Le fichier `.env` est un fichier texte simple pour stocker les variables.

In [None]:
# Format d'un fichier .env
exemple_env = '''
# Commentaires commencent par #

# Configuration de base
APP_NAME=MonApplication
APP_ENV=development
DEBUG=True

# Base de donn√©es
DATABASE_HOST=localhost
DATABASE_PORT=5432
DATABASE_NAME=mydb
DATABASE_USER=admin
DATABASE_PASSWORD=super_secret_password

# API Keys
OPENAI_API_KEY=sk-xxxxxxxxxxxxxxxxxx
STRIPE_SECRET_KEY=sk_test_xxxxxxxxxx

# URLs
API_BASE_URL=https://api.example.com/v1
FRONTEND_URL=http://localhost:3000

# Valeurs avec espaces (entre guillemets)
WELCOME_MESSAGE="Bienvenue dans l'application!"

# Valeurs multi-lignes (pas standard, √©viter)
# Pr√©f√©rer des variables s√©par√©es
'''

print("Exemple de fichier .env:")
print("=" * 60)
print(exemple_env)
print("=" * 60)

print("\nConventions:")
print("  - Noms en MAJUSCULES_SNAKE_CASE")
print("  - Pas d'espaces autour du =")
print("  - Commentaires avec #")
print("  - Guillemets pour valeurs avec espaces")
print("  - Une variable par ligne")

## 6. python-dotenv : charger les fichiers .env

Installation : `pip install python-dotenv` ou `uv pip install python-dotenv`

In [None]:
# Installation
# !pip install python-dotenv

# Cr√©er un fichier .env de test
import os
from pathlib import Path

# Cr√©er un .env temporaire
env_content = """
APP_NAME=TestApp
DEBUG=True
DATABASE_HOST=localhost
DATABASE_PORT=5432
API_KEY=test_api_key_123
"""

env_file = Path('.env.test')
env_file.write_text(env_content.strip())

print(f"Fichier cr√©√©: {env_file.absolute()}")
print(f"\nContenu:")
print(env_file.read_text())

In [None]:
from dotenv import load_dotenv
import os

# Charger le fichier .env
load_dotenv('.env.test')

# Les variables sont maintenant dans os.environ
print("Variables charg√©es:")
print(f"  APP_NAME: {os.getenv('APP_NAME')}")
print(f"  DEBUG: {os.getenv('DEBUG')}")
print(f"  DATABASE_HOST: {os.getenv('DATABASE_HOST')}")
print(f"  DATABASE_PORT: {os.getenv('DATABASE_PORT')}")
print(f"  API_KEY: {os.getenv('API_KEY')}")

# Nettoyer
Path('.env.test').unlink()
print("\n‚úì Fichier test supprim√©")

### find_dotenv() : recherche automatique

In [None]:
from dotenv import load_dotenv, find_dotenv
import os

# Cr√©er une structure de test
from pathlib import Path

# Cr√©er un .env dans le r√©pertoire courant
env_file = Path('.env')
env_file.write_text("TEST_VAR=from_dotenv")

# find_dotenv() cherche .env dans le r√©pertoire actuel et parents
env_path = find_dotenv()
print(f"Fichier .env trouv√©: {env_path}")

# Charger automatiquement
load_dotenv(find_dotenv())
print(f"TEST_VAR: {os.getenv('TEST_VAR')}")

# Utilisation typique dans une application
exemple_code = '''
# Au d√©but de votre script principal
from dotenv import load_dotenv, find_dotenv
import os

# Charger .env automatiquement
load_dotenv(find_dotenv())

# Utiliser les variables
DATABASE_URL = os.getenv('DATABASE_URL')
API_KEY = os.getenv('API_KEY')
'''

print("\nUtilisation typique:")
print(exemple_code)

# Nettoyer
env_file.unlink()
print("‚úì Fichier test supprim√©")

## 7. .env dans .gitignore (CRITIQUE!)

**NE JAMAIS** commiter le fichier .env dans Git!

In [None]:
# Contenu minimal d'un .gitignore
gitignore_content = '''
# Fichiers d'environnement - NE JAMAIS COMMITER!
.env
.env.local
.env.*.local

# Mais permettre les fichiers d'exemple
!.env.example

# Autres fichiers sensibles
*.key
*.pem
*.p12
secrets/
credentials.json

# Environnements virtuels
venv/
.venv/
env/

# Cache Python
__pycache__/
*.pyc
*.pyo
.pytest_cache/
'''

print("Contenu recommand√© pour .gitignore:")
print("=" * 60)
print(gitignore_content)
print("=" * 60)

print("\nüîí R√àGLES DE S√âCURIT√â:")
print("  1. Ajouter .env au .gitignore AVANT le premier commit")
print("  2. V√©rifier avec 'git status' que .env n'appara√Æt pas")
print("  3. Si d√©j√† commit√©, utiliser 'git rm --cached .env'")
print("  4. Cr√©er .env.example sans valeurs sensibles")
print("  5. Documenter les variables requises dans README.md")

## 8. .env.example : template sans secrets

Cr√©er un template pour documenter les variables n√©cessaires.

In [None]:
# .env.example - √Ä commiter dans Git
env_example = '''
# Configuration de l'application
APP_NAME=MonApp
APP_ENV=development
DEBUG=True

# Base de donn√©es
DATABASE_HOST=localhost
DATABASE_PORT=5432
DATABASE_NAME=mydb
DATABASE_USER=votre_user
DATABASE_PASSWORD=votre_password

# API Keys (obtenir sur https://platform.openai.com)
OPENAI_API_KEY=votre_cle_api

# Stripe (obtenir sur https://dashboard.stripe.com)
STRIPE_SECRET_KEY=votre_cle_stripe
STRIPE_PUBLIC_KEY=votre_cle_publique

# URLs
API_BASE_URL=https://api.example.com/v1
FRONTEND_URL=http://localhost:3000

# Email (SMTP)
EMAIL_HOST=smtp.gmail.com
EMAIL_PORT=587
EMAIL_USER=votre_email@gmail.com
EMAIL_PASSWORD=votre_mot_de_passe_app
'''

# .env - NE PAS commiter!
env_real = '''
APP_NAME=MonApp
APP_ENV=development
DEBUG=True

DATABASE_HOST=localhost
DATABASE_PORT=5432
DATABASE_NAME=mydb
DATABASE_USER=admin
DATABASE_PASSWORD=M0tD3P@ss3Tr3sS3cur1s3!

OPENAI_API_KEY=sk-proj-abc123def456...
STRIPE_SECRET_KEY=sk_live_xyz789...
STRIPE_PUBLIC_KEY=pk_live_abc123...

API_BASE_URL=https://api.example.com/v1
FRONTEND_URL=http://localhost:3000

EMAIL_HOST=smtp.gmail.com
EMAIL_PORT=587
EMAIL_USER=monapp@example.com
EMAIL_PASSWORD=mdp_application_gmail_123
'''

print(".env.example (√† commiter):")
print("=" * 60)
print(env_example)
print("\n.env (NE PAS commiter):")
print("=" * 60)
print(env_real)

print("\nüìù Instructions pour nouveaux d√©veloppeurs:")
print("  1. Copier .env.example vers .env")
print("  2. Remplir les valeurs r√©elles")
print("  3. Ne JAMAIS commiter .env")

## 9. Module secrets : g√©n√©ration s√©curis√©e

Le module `secrets` g√©n√®re des valeurs cryptographiquement s√©curis√©es.

In [None]:
import secrets

# token_hex() - token hexad√©cimal
hex_token = secrets.token_hex(16)  # 16 bytes = 32 caract√®res hex
print(f"Token hex (16 bytes): {hex_token}")
print(f"Longueur: {len(hex_token)} caract√®res")

# token_urlsafe() - token safe pour URL
url_token = secrets.token_urlsafe(32)  # 32 bytes
print(f"\nToken URL-safe (32 bytes): {url_token}")
print(f"Longueur: {len(url_token)} caract√®res")

# token_bytes() - bytes bruts
bytes_token = secrets.token_bytes(16)
print(f"\nToken bytes: {bytes_token}")
print(f"Longueur: {len(bytes_token)} bytes")

# Cas pratiques
print("\n" + "=" * 60)
print("Cas pratiques:")
print("=" * 60)

# 1. Secret key pour Flask/Django
secret_key = secrets.token_hex(32)
print(f"\n1. SECRET_KEY (Flask/Django):")
print(f"   {secret_key}")

# 2. Token de session
session_token = secrets.token_urlsafe(32)
print(f"\n2. Session Token:")
print(f"   {session_token}")

# 3. Token de r√©initialisation de mot de passe
reset_token = secrets.token_urlsafe(16)
print(f"\n3. Password Reset Token:")
print(f"   {reset_token}")

# 4. API Key
api_key = f"sk_{secrets.token_urlsafe(32)}"
print(f"\n4. API Key:")
print(f"   {api_key}")

### secrets vs random : diff√©rence de s√©curit√©

In [None]:
import secrets
import random

print("DIFF√âRENCE CRITIQUE entre random et secrets:")
print("=" * 60)

# random - NE PAS utiliser pour la s√©curit√©!
random_token = ''.join(random.choices('0123456789abcdef', k=32))
print(f"\nrandom (‚ùå PAS S√âCURIS√â):")
print(f"  Token: {random_token}")
print(f"  Usage: Jeux, simulations, √©chantillonnage")
print(f"  Probl√®me: Pr√©visible si on conna√Æt la seed")

# secrets - Cryptographiquement s√©curis√©
secure_token = secrets.token_hex(16)
print(f"\nsecrets (‚úÖ S√âCURIS√â):")
print(f"  Token: {secure_token}")
print(f"  Usage: Tokens, passwords, cl√©s API")
print(f"  Avantage: Impr√©visible, source d'entropie syst√®me")

print("\n" + "=" * 60)
print("R√àGLE:")
print("  - random: pour al√©atoire non-critique")
print("  - secrets: pour TOUT ce qui touche √† la s√©curit√©")
print("=" * 60)

## 10. Comparaison s√©curis√©e avec secrets

In [None]:
import secrets

# secrets.compare_digest() - comparaison r√©sistante aux timing attacks

stored_token = "secret_token_123456"
user_input = "secret_token_123456"

# ‚ùå Mauvaise m√©thode - vuln√©rable aux timing attacks
if user_input == stored_token:
    print("Authentification r√©ussie (m√©thode non s√©curis√©e)")

# ‚úÖ Bonne m√©thode - r√©sistant aux timing attacks
if secrets.compare_digest(user_input, stored_token):
    print("Authentification r√©ussie (m√©thode s√©curis√©e)")

print("\nPourquoi compare_digest() ?")
print("  - Comparaison en temps constant")
print("  - Emp√™che les attaques par timing")
print("  - Essentiel pour tokens, passwords, API keys")

# Exemple d'utilisation
def verify_api_key(provided_key: str, stored_key: str) -> bool:
    """V√©rifie une cl√© API de mani√®re s√©curis√©e."""
    return secrets.compare_digest(provided_key, stored_key)

# Test
api_key = "sk_live_abc123"
print(f"\nTest 1 (correct): {verify_api_key('sk_live_abc123', api_key)}")
print(f"Test 2 (incorrect): {verify_api_key('sk_live_xyz789', api_key)}")

## 11. Classe de configuration avec dotenv

In [None]:
from dataclasses import dataclass
from pathlib import Path
import os

@dataclass
class Config:
    """Configuration de l'application depuis variables d'environnement."""
    
    # Application
    app_name: str
    app_env: str
    debug: bool
    
    # Database
    database_host: str
    database_port: int
    database_name: str
    database_user: str
    database_password: str
    
    # API
    api_key: str
    
    @classmethod
    def from_env(cls) -> 'Config':
        """Cr√©e une config depuis les variables d'environnement."""
        return cls(
            app_name=os.getenv('APP_NAME', 'MyApp'),
            app_env=os.getenv('APP_ENV', 'development'),
            debug=os.getenv('DEBUG', 'False').lower() == 'true',
            database_host=os.getenv('DATABASE_HOST', 'localhost'),
            database_port=int(os.getenv('DATABASE_PORT', '5432')),
            database_name=os.getenv('DATABASE_NAME', 'mydb'),
            database_user=os.getenv('DATABASE_USER', 'user'),
            database_password=os.getenv('DATABASE_PASSWORD', ''),
            api_key=os.getenv('API_KEY', ''),
        )
    
    @property
    def database_url(self) -> str:
        """Construit l'URL de connexion √† la base de donn√©es."""
        return (
            f"postgresql://{self.database_user}:{self.database_password}"
            f"@{self.database_host}:{self.database_port}/{self.database_name}"
        )
    
    def validate(self) -> None:
        """Valide la configuration."""
        if not self.database_password:
            raise ValueError("DATABASE_PASSWORD est requis")
        if not self.api_key:
            raise ValueError("API_KEY est requis")
        if self.app_env == 'production' and self.debug:
            raise ValueError("DEBUG ne peut pas √™tre True en production")

# Cr√©er un .env de test
test_env = Path('.env.config_test')
test_env.write_text("""
APP_NAME=TestApp
APP_ENV=development
DEBUG=True
DATABASE_HOST=localhost
DATABASE_PORT=5432
DATABASE_NAME=testdb
DATABASE_USER=testuser
DATABASE_PASSWORD=testpass
API_KEY=test_key_123
""".strip())

# Charger et utiliser
from dotenv import load_dotenv
load_dotenv(test_env)

config = Config.from_env()
print(f"Configuration:")
print(f"  App: {config.app_name} ({config.app_env})")
print(f"  Debug: {config.debug}")
print(f"  Database URL: {config.database_url}")
print(f"  API Key: {config.api_key[:8]}...")

# Valider
try:
    config.validate()
    print("\n‚úì Configuration valide")
except ValueError as e:
    print(f"\n‚úó Erreur: {e}")

# Nettoyer
test_env.unlink()

## 12. 12-Factor App : config par environnement

Principes de la m√©thodologie 12-Factor pour les applications modernes.

In [None]:
print("12-FACTOR APP - Principe III: Config")
print("=" * 60)

print("""
‚ùå MAUVAISE PRATIQUE:
  - Config hardcod√©e dans le code
  - Fichiers de config diff√©rents par environnement
  - Config dans des fichiers versionn√©s

‚úÖ BONNE PRATIQUE:
  - Config dans les variables d'environnement
  - S√©paration stricte du code et de la config
  - M√™me code pour dev, staging, production
  - Config change selon l'environnement

AVANTAGES:
  - Pas de secrets dans le code
  - Facilite le d√©ploiement
  - Scalabilit√©
  - S√©curit√©
""")

# Exemple d'organisation
structure = """
mon_projet/
‚îú‚îÄ‚îÄ .env                    # Local (gitignored)
‚îú‚îÄ‚îÄ .env.example            # Template (committ√©)
‚îú‚îÄ‚îÄ .gitignore              # Contient .env
‚îú‚îÄ‚îÄ config.py               # Classe Config
‚îú‚îÄ‚îÄ app.py                  # Application
‚îî‚îÄ‚îÄ README.md              # Documentation des variables

D√©ploiement:
‚îú‚îÄ‚îÄ Development: .env local
‚îú‚îÄ‚îÄ Staging: Variables d'env sur serveur
‚îî‚îÄ‚îÄ Production: Variables d'env s√©curis√©es (Vault, AWS Secrets Manager)
"""

print("\nSTRUCTURE RECOMMAND√âE:")
print("=" * 60)
print(structure)

## Pi√®ges courants

### 1. Commiter .env dans Git

In [None]:
print("üö® PI√àGE MORTEL: .env commit√© dans Git")
print("=" * 60)

print("""
PROBL√àME:
  - Secrets visibles dans l'historique Git
  - M√™me apr√®s suppression, restent dans l'historique
  - Visibles publiquement si repo public

SOLUTION:
  1. Ajouter .env au .gitignore AVANT premier commit
  2. Si d√©j√† commit√©:
     git rm --cached .env
     git commit -m "Remove .env from tracking"
  3. Pour nettoyer l'historique (complexe):
     git filter-branch ou BFG Repo-Cleaner
  4. REG√âN√âRER tous les secrets expos√©s!

PR√âVENTION:
  - git status avant chaque commit
  - Utiliser pre-commit hooks
  - Activer GitHub secret scanning
""")

# Commande pour v√©rifier
print("\nV√âRIFIER avant de commiter:")
print("  $ git status")
print("  $ git diff --staged")

### 2. os.environ est mutable

In [None]:
import os

# PI√àGE: Modifier os.environ affecte tout le programme
print(f"Avant: {os.getenv('TEST_VAR')}")

# Modification globale
os.environ['TEST_VAR'] = 'valeur1'
print(f"Apr√®s modif: {os.getenv('TEST_VAR')}")

# Affecte TOUT le code
def autre_fonction():
    print(f"Dans fonction: {os.getenv('TEST_VAR')}")

autre_fonction()

# SOLUTION: Utiliser une classe Config immutable
from dataclasses import dataclass

@dataclass(frozen=True)  # Immutable
class ConfigImmutable:
    test_var: str
    
    @classmethod
    def from_env(cls):
        return cls(test_var=os.getenv('TEST_VAR', 'default'))

config = ConfigImmutable.from_env()
print(f"\nConfig immutable: {config.test_var}")

# Tentative de modification
try:
    config.test_var = 'nouvelle_valeur'
except Exception as e:
    print(f"Erreur (attendue): {type(e).__name__}")

### 3. Secrets dans les logs

In [None]:
import os

# PI√àGE: Logger des secrets
api_key = os.getenv('API_KEY', 'test_key_123')

# ‚ùå JAMAIS FAIRE √áA!
print(f"API Key: {api_key}")  # Secret dans les logs!

# ‚úÖ MASQUER les secrets
def mask_secret(secret: str, visible: int = 4) -> str:
    """Masque un secret en ne montrant que les premiers caract√®res."""
    if len(secret) <= visible:
        return '*' * len(secret)
    return secret[:visible] + '*' * (len(secret) - visible)

print(f"\nAPI Key (masqu√©e): {mask_secret(api_key)}")

# Pour le logging
import logging

logging.basicConfig(level=logging.INFO)
logger = logging.getLogger(__name__)

# ‚úÖ Bon logging
logger.info(f"Connexion avec cl√©: {mask_secret(api_key)}")

# Filter pour masquer automatiquement
class SecretFilter(logging.Filter):
    """Filtre pour masquer les secrets dans les logs."""
    
    def __init__(self, secrets: list[str]):
        super().__init__()
        self.secrets = secrets
    
    def filter(self, record):
        for secret in self.secrets:
            if secret in record.msg:
                record.msg = record.msg.replace(secret, mask_secret(secret))
        return True

# Utilisation
logger.addFilter(SecretFilter([api_key]))
logger.info(f"Tentative de log du secret: {api_key}")

## Mini-exercices

### Exercice 1: Charger une configuration depuis .env

Cr√©ez une configuration compl√®te pour une application.

In [None]:
# √Ä compl√©ter
# 1. Cr√©er un fichier .env avec:
#    - APP_NAME, APP_ENV, DEBUG
#    - DATABASE_URL
#    - API_KEY
#    - LOG_LEVEL
# 2. Cr√©er une classe Config
# 3. Charger et valider la config
# 4. Cr√©er un .env.example correspondant

### Solution Exercice 1

In [None]:
from dataclasses import dataclass
from pathlib import Path
from dotenv import load_dotenv
import os

# 1. Cr√©er .env
env_content = """
APP_NAME=DataPipeline
APP_ENV=development
DEBUG=True
DATABASE_URL=postgresql://user:pass@localhost:5432/mydb
API_KEY=sk_test_abc123def456
LOG_LEVEL=DEBUG
"""

env_file = Path('.env.exercise')
env_file.write_text(env_content.strip())

# 2. Classe Config
@dataclass(frozen=True)
class AppConfig:
    app_name: str
    app_env: str
    debug: bool
    database_url: str
    api_key: str
    log_level: str
    
    @classmethod
    def from_env(cls, env_file: str = '.env') -> 'AppConfig':
        """Charge la config depuis un fichier .env."""
        load_dotenv(env_file)
        
        return cls(
            app_name=os.getenv('APP_NAME', 'MyApp'),
            app_env=os.getenv('APP_ENV', 'development'),
            debug=os.getenv('DEBUG', 'False').lower() == 'true',
            database_url=os.getenv('DATABASE_URL', ''),
            api_key=os.getenv('API_KEY', ''),
            log_level=os.getenv('LOG_LEVEL', 'INFO'),
        )
    
    def validate(self) -> None:
        """Valide la configuration."""
        errors = []
        
        if not self.database_url:
            errors.append("DATABASE_URL est requis")
        if not self.api_key:
            errors.append("API_KEY est requis")
        if self.log_level not in ['DEBUG', 'INFO', 'WARNING', 'ERROR']:
            errors.append(f"LOG_LEVEL invalide: {self.log_level}")
        if self.app_env == 'production' and self.debug:
            errors.append("DEBUG ne peut pas √™tre True en production")
        
        if errors:
            raise ValueError("\n".join(errors))
    
    def __repr__(self) -> str:
        """Repr√©sentation s√©curis√©e (masque les secrets)."""
        return (
            f"AppConfig(\n"
            f"  app_name={self.app_name!r},\n"
            f"  app_env={self.app_env!r},\n"
            f"  debug={self.debug},\n"
            f"  database_url='***masked***',\n"
            f"  api_key='{self.api_key[:8]}...',\n"
            f"  log_level={self.log_level!r}\n"
            f")"
        )

# 3. Charger et valider
config = AppConfig.from_env('.env.exercise')
print("Configuration charg√©e:")
print(config)

try:
    config.validate()
    print("\n‚úì Configuration valide!")
except ValueError as e:
    print(f"\n‚úó Erreurs de validation:\n{e}")

# 4. Cr√©er .env.example
env_example = """
# Application
APP_NAME=MyApp
APP_ENV=development
DEBUG=True

# Database
DATABASE_URL=postgresql://user:password@host:port/database

# API
API_KEY=your_api_key_here

# Logging
LOG_LEVEL=INFO
"""

example_file = Path('.env.example.exercise')
example_file.write_text(env_example.strip())

print("\n.env.example cr√©√©:")
print(example_file.read_text())

# Nettoyer
env_file.unlink()
example_file.unlink()
print("\n‚úì Fichiers de test supprim√©s")

### Exercice 2: G√©n√©rer des tokens s√©curis√©s

In [None]:
# √Ä compl√©ter
# Cr√©er une fonction qui g√©n√®re:
# 1. Une SECRET_KEY pour Flask/Django (64 caract√®res hex)
# 2. Un token de session (32 caract√®res URL-safe)
# 3. Un token de r√©initialisation de mot de passe (16 caract√®res URL-safe)
# 4. Une API key pr√©fix√©e par 'sk_' (32 caract√®res URL-safe)
# 5. Sauvegarder dans un fichier .env

### Solution Exercice 2

In [None]:
import secrets
from pathlib import Path
from datetime import datetime

def generate_secrets() -> dict[str, str]:
    """G√©n√®re tous les secrets n√©cessaires pour une application."""
    return {
        'SECRET_KEY': secrets.token_hex(32),  # 64 caract√®res
        'SESSION_TOKEN': secrets.token_urlsafe(32),
        'RESET_TOKEN': secrets.token_urlsafe(16),
        'API_KEY': f"sk_{secrets.token_urlsafe(32)}",
        'JWT_SECRET': secrets.token_hex(32),
    }

def save_to_env(secrets_dict: dict[str, str], filename: str = '.env.secrets') -> None:
    """Sauvegarde les secrets dans un fichier .env."""
    content = [
        f"# Secrets g√©n√©r√©s le {datetime.now().isoformat()}",
        "# ‚ö†Ô∏è  NE PAS COMMITER CE FICHIER!",
        "",
    ]
    
    for key, value in secrets_dict.items():
        content.append(f"{key}={value}")
    
    Path(filename).write_text("\n".join(content))

# G√©n√©rer les secrets
print("G√©n√©ration des secrets...")
generated_secrets = generate_secrets()

print("\nSecrets g√©n√©r√©s:")
print("=" * 60)
for key, value in generated_secrets.items():
    # Afficher seulement les premiers caract√®res
    masked = value[:12] + "..." if len(value) > 12 else value
    print(f"{key:20s} = {masked}")

# Sauvegarder
filename = '.env.generated'
save_to_env(generated_secrets, filename)

print(f"\n‚úì Secrets sauvegard√©s dans {filename}")
print(f"\nContenu du fichier:")
print("=" * 60)
print(Path(filename).read_text())
print("=" * 60)

# Statistiques
print("\nStatistiques:")
for key, value in generated_secrets.items():
    print(f"  {key:20s}: {len(value):3d} caract√®res")

# Nettoyer
Path(filename).unlink()
print("\n‚úì Fichier de test supprim√©")

### Exercice 3: Cr√©er un .env.example complet

In [None]:
# √Ä compl√©ter
# Cr√©er un .env.example document√© pour un projet avec:
# - Configuration app (nom, env, debug)
# - Base de donn√©es (host, port, name, user, password)
# - Redis (url)
# - Email (SMTP)
# - API externes (OpenAI, Stripe)
# - Logging
# Inclure des commentaires et des valeurs d'exemple

### Solution Exercice 3

In [None]:
from pathlib import Path

env_example_content = '''
# ============================================================
# CONFIGURATION DE L'APPLICATION
# ============================================================
# Fichier d'exemple - Copier vers .env et remplir les valeurs

# --- Application ---
APP_NAME=MyDataApp
APP_ENV=development  # development, staging, production
DEBUG=True
SECRET_KEY=your_secret_key_here_use_secrets_module

# --- Base de donn√©es PostgreSQL ---
# Format: postgresql://user:password@host:port/database
DATABASE_HOST=localhost
DATABASE_PORT=5432
DATABASE_NAME=myapp_dev
DATABASE_USER=postgres
DATABASE_PASSWORD=your_db_password
DATABASE_URL=postgresql://postgres:your_db_password@localhost:5432/myapp_dev

# --- Redis (Cache & Sessions) ---
REDIS_URL=redis://localhost:6379/0
REDIS_PASSWORD=

# --- Email (SMTP) ---
# Gmail: smtp.gmail.com:587 (n√©cessite App Password)
# Outlook: smtp-mail.outlook.com:587
EMAIL_HOST=smtp.gmail.com
EMAIL_PORT=587
EMAIL_USER=your_email@gmail.com
EMAIL_PASSWORD=your_app_password
EMAIL_USE_TLS=True
EMAIL_FROM=noreply@example.com

# --- APIs Externes ---
# OpenAI (https://platform.openai.com/api-keys)
OPENAI_API_KEY=sk-proj-your_key_here
OPENAI_ORG_ID=org-your_org_id

# Stripe (https://dashboard.stripe.com/apikeys)
STRIPE_PUBLIC_KEY=pk_test_your_public_key
STRIPE_SECRET_KEY=sk_test_your_secret_key
STRIPE_WEBHOOK_SECRET=whsec_your_webhook_secret

# AWS (pour S3, etc.)
AWS_ACCESS_KEY_ID=your_access_key
AWS_SECRET_ACCESS_KEY=your_secret_key
AWS_REGION=eu-west-1
AWS_S3_BUCKET=your-bucket-name

# --- S√©curit√© ---
# JWT pour authentification
JWT_SECRET=your_jwt_secret_key
JWT_ALGORITHM=HS256
JWT_EXPIRATION=3600  # secondes

# CORS
CORS_ORIGINS=http://localhost:3000,http://localhost:8000

# --- Logging ---
LOG_LEVEL=INFO  # DEBUG, INFO, WARNING, ERROR, CRITICAL
LOG_FILE=logs/app.log
LOG_MAX_BYTES=10485760  # 10MB
LOG_BACKUP_COUNT=5

# --- URLs et Hosts ---
API_BASE_URL=http://localhost:8000
FRONTEND_URL=http://localhost:3000
ALLOWED_HOSTS=localhost,127.0.0.1

# --- Workers et Performance ---
WORKERS=4
MAX_CONNECTIONS=100
TIMEOUT=30

# --- Features Flags ---
FEATURE_ANALYTICS=True
FEATURE_BETA=False
'''

# Sauvegarder
example_file = Path('.env.example.complete')
example_file.write_text(env_example_content.strip())

print("‚úì .env.example complet cr√©√©!")
print(f"\nFichier: {example_file.absolute()}")
print(f"Taille: {example_file.stat().st_size} bytes")
print(f"Lignes: {len(example_file.read_text().splitlines())}")

print("\nContenu:")
print("=" * 60)
print(example_file.read_text())
print("=" * 60)

print("\nüìù Instructions pour utiliser ce fichier:")
print("  1. Copier vers .env: cp .env.example .env")
print("  2. Remplir toutes les valeurs")
print("  3. V√©rifier que .env est dans .gitignore")
print("  4. Ne JAMAIS commiter .env")

# Nettoyer
example_file.unlink()
print("\n‚úì Fichier de test supprim√©")