python – 如何在部署应用程序引擎应用程序时处理敏感配置信息？

myApi = MyApi(token=my_private_sensible_token)

我想避免在作为项目一部分的配置文件中使用该私有令牌.

我们想到的一个解决方案是在由有限数量的授权人员维护的单独代理应用程序中隔离与此服务的交互. App-engine允许通过身份验证保护处理程序,我可以在代理中轻松地仅允许来自授权的应用引擎消费者应用程序的呼叫.

我能想到的不同解决方案,在某些时候都使得这个私有令牌在消费者应用程序内存中可用,这可能允许恶意用户(维护消费者)编写一个处理程序,以某种奇特的方式打印出这个秘密令牌应用程序已检索.

你有更好的建议吗？