Variables de entorno con python-dotenv

Clase 5 de 22 • Curso de Despliegue de Aplicaciones Python en la Nube

Contenido del curso

Fundamentos de Deployment y Control de Versiones

Configuración de Servidores en la Nube para Despliegue

Administración y Optimización de Servidores para Producción

Integración de Servicios Complementarios para Aplicaciones Python

Automatización y CI/CD para Despliegues Python

22
Cómo crear un playbook Ansible para deployment
11:39 min

Tomar examen

Resumen

Proteger información sensible y adaptar el comportamiento de una aplicación según el entorno donde se ejecuta es una necesidad real en cualquier proyecto. Las variables de entorno resuelven exactamente ese problema, y combinadas con un archivo .env, ofrecen una forma limpia y segura de gestionar configuraciones sin exponer datos en el repositorio.

¿Por qué no deberías guardar configuraciones directamente en el código?

Imagina que tienes una variable llamada app_mode que en tu máquina local debe valer local, pero en producción debe ser production. Si defines ese valor directamente en el código y lo subes al repositorio, cada entorno tendría conflictos al intentar ejecutar comportamientos distintos. La solución es sacar esas configuraciones fuera del código mediante variables de entorno [0:20].

¿Cómo crear una variable de entorno en Linux?

En un sistema Linux se utiliza el comando export seguido del nombre y el valor de la variable [0:38]:

bash export app_mode=local

Todas las variables de entorno aceptan únicamente valores de tipo string.
Una vez definida, queda disponible para cualquier proceso que se ejecute en esa sesión de terminal.

¿Cómo leer variables de entorno desde Python?

Python incluye la librería os, que permite acceder al entorno del sistema operativo. Para obtener el valor de una variable se usa os.environ.get() [1:05]:

python import os

app_mode = os.environ.get("app_mode") print(app_mode)

Al ejecutar la aplicación con Uvicorn, el valor local se imprimió dos veces. Esto sucede porque Uvicorn levanta dos workers, es decir, dos procesos de Python independientes que aceptan peticiones. La primera solicitud activa ambos, y cada uno ejecuta el print [1:30].

¿Qué es el archivo .env y por qué facilita la gestión de variables?

Escribir export cada vez que se necesita una variable nueva resulta poco práctico. El archivo .env centraliza todas las variables de entorno en un solo lugar [1:55]:

app_mode=local secret=super_secret

Puedes definir tantas variables como necesites, una por línea.
Nunca subas este archivo al repositorio, ya que puede contener contraseñas, tokens o claves de acceso que no deben estar disponibles para todo el equipo.

¿Cómo cargar el archivo .env en Python con python-dotenv?

Para que Python lea automáticamente el archivo .env, se utiliza la librería python-dotenv. Primero hay que instalarla [2:25]:

bash pip install python-dotenv

Es buena práctica guardar la dependencia en el archivo de requerimientos:

python-dotenv==1.0

Dentro del código, se importa la función load_dotenv y se le pasa la ruta del archivo [2:42]:

python from dotenv import load_dotenv import os

load_dotenv(".env")

app_mode = os.environ.get("app_mode") secret = os.environ.get("secret")

print(app_mode) print(secret)

load_dotenv toma todas las variables definidas en .env y las inserta en el entorno del sistema, sin necesidad de ejecutar export manualmente. Al recargar la aplicación, ambas variables se muestran correctamente [3:05].

¿Qué casos prácticos resuelve el uso de .env en producción?

Este patrón tiene aplicaciones directas en escenarios reales:

Autenticación con servicios externos: si configuras un login con Facebook, los secrets de la aplicación se almacenan en el .env para evitar exponerlos.
Conexión a bases de datos: la contraseña del servidor de base de datos en producción se gestiona como variable de entorno, protegiendo la información más crítica.
Separación de entornos: cada servidor mantiene su propio .env con valores adaptados a su contexto, sin modificar una sola línea de código.

Un ejercicio valioso es crear la misma variable tanto con export como dentro del .env y verificar cuál toma prioridad [3:55]. Eso te ayudará a entender dónde hacer cambios cuando necesites ajustar configuraciones rápidamente.

¿Ya probaste qué sucede cuando una variable existe en ambos lugares? Comparte tu resultado y cuéntanos cómo organizas tus variables de entorno en tus proyectos.

Comentarios

Alfredo Olmedo

student•

de hecho, es recomendable poner en .gitignore, que ignore el .env

.gitignore


.env

GUSTAVO CHIAPPE

student•

esta bueno lo del .env .Pero si tu equipo para correr el programa necesita esas conexiones ? como haces para pasarle esas variables sin que las puedan ver ?

Luis Martinez

teacher•

La mejor manera que puedes usar es un password manager, si no tienes uno puedes usar: https://share.doppler.com/

LEONARD CUENCA

student•

Hola, ¡excelentes preguntas! Saludos.

Primero, un poco de contexto y experiencia sobre las variables de entorno:

Como bien se menciona, el archivo .env jamás se comparte. Está diseñado solo para trabajar en tu entorno local: te permite tener una configuración fácil, centralizada y homogénea, que son acciones clave para tu desarrollo.

Ahora, el desafío surge cuando desarrollamos en equipo. El manejo de las variables de entorno se convierte en un verdadero dolor de cabeza.

Dado que el .env no puede subirse a Git, se populariza el uso del .env.example. Este archivo es una maqueta o esqueleto que lista solo los nombres de las variables que se usan. Sin embargo, a pesar de tener esta estructura, el equipo termina compartiendo las claves reales por medios inseguros como Telegram, Slack o incluso correo electrónico.

¿Por qué ocurre esto? Imagina que llega un nuevo integrante al equipo. Le dan acceso al repositorio de Git, pero, adivina qué, el archivo .env está vacío. El nuevo desarrollador, lamentablemente, debe preguntar: "Oigan, ¿me comparten las variables?", usando dichos medios.

Lo comento por experiencia propia: sé que no es el lineamiento correcto, pero a menudo es el más rápido para poder comenzar a trabajar, especialmente cuando el proyecto es "para ayer".

Por esa razón, existen tecnologías y soluciones dedicadas a esto, como la que menciona el compañero: un Gestor de Secretos como Doppler.

> Aquí un Resumen

Implementación con un Gestor de Secretos (Doppler) 🛠️

Doppler, este servicio actúa como una fuente única de verdad para tus variables de entorno, permitiendo que tu equipo y tu aplicación accedan a ellas de manera segura.

Conceptos Clave de Doppler

Proyectos (Projects): Agrupación de todas las configuraciones para una sola aplicación (ej: Proyecto-API-Python).
Entornos (Environments): Separación de variables según la etapa de desarrollo (ej: dev para desarrollo, staging para pruebas, prod para producción).
Configuraciones (Configs): Conjuntos de secretos dentro de un entorno (ej: variables para la base de datos de desarrollo).

Implementación Práctica en Python

En lugar de leer el archivo .env localmente, usas una herramienta de CLI de Doppler o su SDK para inyectar las variables de entorno directamente en el proceso de tu aplicación.

Paso a Paso

Instalar la CLI de Doppler: Esto permite a los desarrolladores interactuar de forma segura con los secretos.
Configurar el Proyecto: Un administrador sube las variables de base de datos a Doppler (una vez) en el entorno dev.
- Variable en Doppler: DATABASE_URL=postgres://user:password@host:port/dbname
Acceso en el Entorno Local: El desarrollador ejecuta su programa usando el comando de la CLI de Doppler.

Como lo hacemos

**Ejemplo Practico**

Este comando INYECTA las variables del entorno 'dev' de Doppler

En el proceso de ejecución de tu script Python.

```Bash doppler run -- python app.py

```

```Python import os # Tu código lee la variable del entorno (ahora inyectada por Doppler)

db_connection_string = os.environ.get("DATABASE_URL") if db_connection_string: print("Conexión de DB obtenida de forma segura.")

# Código para conectarse a la base de datos... else: print("Error: DATABASE_URL no encontrada.")

# Nota: Si el desarrollador NO tiene permiso en Doppler, # la variable no se inyecta, y el programa no puede ejecutarse.

# Esto garantiza el control de acceso. ```

Emilio Sala

student•

a git se puede subir un env.example con las variables que la aplicación solicita para facilitar su uso

juan jose cardona gil

student•

pero una mejor practica es usar un archivo nombrado requirements.txt en el cual se agregan las dependencias y su versión asi Python == 3.12.3 pip==24.3.1 Django==5.0.9 pillow==11.0.0 y luego para crear un nuevo en otro dispositivos se usa pip install -r requirements.txt

Adrian Lazzarini

student•

Ambos consejos son correctos pero se refieren a cosas distintas:

.env.example es para mostrar qué variables de entorno necesita la app (API keys, URLs, etc.) sin exponer los valores reales del .env
requirements.txt es para listar las dependencias de Python del proyecto (Django, Pillow, etc.)

Uno maneja configuración sensible y el otro las librerías. El entorno virtual (venv) es el espacio aislado donde se instalan esas dependencias con pip install -r requirements.txt.

Agustín Alberto Leiva

student•

Muy buena clase. La librería dotenv ya la conocía y la apliqué en un proyecto. Les comparto el código como ejemplo: es un archivo donde configuro la URL de la base de datos.

config.py

from os import environ
from dotenv import load_dotenv

load_dotenv()


class Setting:
    DB_USER: str = environ.get("DB_USER")
    DB_PASSWORD: str = environ.get("DB_PASSWORD")
    DB_HOST: str = environ.get("DB_HOST")
    DB_PORT: int = environ.get("DB_PORT")
    DB_NAME: str = environ.get("DB_NAME")

    @property
    def DATABASE_URL(self) -> str:
        return f"postgresql://{self.DB_USER}:{self.DB_PASSWORD}@{self.DB_HOST}:{self.DB_PORT}/{self.DB_NAME}"


setting = Setting()

.env

DB_USER=your_db_user
DB_PASSWORD=your_db_password
DB_HOST=127.0.0.1
DB_PORT=9090
DB_NAME=your_db_name

Iván Ozono

student•

¿Por qué hoy es mejor usar un gestor de secretos en vez de depender solo de archivos .env?

Porque garantiza seguridad, rotación de claves, control de acceso y sincronización automática entre equipos y ambientes, evitando filtraciones y errores humanos.

Ahora usan herramientas centralizadas como:

Doppler
AWS Secrets Manager
HashiCorp Vault
Google Secret Manager
Azure Key Vault

Luis Martinez

teacher•

Sí, idealmente nunca usar .env files en production.

from os import environ
from dotenv import load_dotenv

load_dotenv()


class Setting:
    DB_USER: str = environ.get("DB_USER")
    DB_PASSWORD: str = environ.get("DB_PASSWORD")
    DB_HOST: str = environ.get("DB_HOST")
    DB_PORT: int = environ.get("DB_PORT")
    DB_NAME: str = environ.get("DB_NAME")

    @property
    def DATABASE_URL(self) -> str:
        return f"postgresql://{self.DB_USER}:{self.DB_PASSWORD}@{self.DB_HOST}:{self.DB_PORT}/{self.DB_NAME}"


setting = Setting()

Variables de entorno con python-dotenv

Fundamentos de Deployment y Control de Versiones

De HTML básico a app Python escalable

WSGI vs ASGI: cuándo usar cada protocolo

Versionamiento semántico y GitFlow en Python

Comandos Linux esenciales para deployments