.envでAPI情報を管理する理由

はじめに

スクリプトにAPIキーを直接書いてしまいたくなる。でも .env を使う習慣は、個人ブログ運用であっても絶対に身につけておくべきだった。

結論

APIキーやパスワードを .env に分離することで、Gitに機密情報を含めないまま、複数スクリプトから共通の認証情報を使い回せる。

なぜこれをやったか

wp_post.py にWordPressのパスワードをハードコードしたくなかった。GitHubに上げたときに漏れるリスクと、将来パスワードが変わったときに1箇所だけ変えれば済む利便性を両立したかった。

実際にやったこと

1. .env ファイルを作成し WP_APP_PASSWORD などを記述
2. .gitignore に .env を追加（機密情報をGit管理外に）
3. .env.example に変数名だけ書いてGit管理に含める
4. Pythonスクリプトで python-dotenv を使って読み込む

from dotenv import load_dotenv
load_dotenv()
password = os.getenv("WP_APP_PASSWORD")

つまずいた点

最初は.envの存在を知らず、スクリプトに直接パスワードを書いていた

解決した方法

ccに指摘してもらい.envと.gitignoreをセットで設定した

学び

• .env は必ず .gitignore に追加する
• .env.example はチーム・将来の自分への説明書になる
• 環境変数は「設定」と「コード」を分離する最も簡単な方法

次にやること

GitHub公開時に.env.exampleだけをコミットする運用を徹底する

まとめ

.envは面倒に見えて、実は一番最初に習慣にすべきセキュリティの基本だった