如何让 Python ssl 模块使用内存中的数据而不是传递文件路径?

How to make Python ssl module use data in memory rather than pass file paths?

完整解释我想做什么以及为什么要花一些时间来解释。基本上,我想在公开分发的应用程序中使用私有 SSL 连接,而不是分发我的私有 ssl 密钥,因为这违背了目的! IE。我想要安全的远程数据库操作,任何人都无法看到 - 包括客户端。

我的核心问题是:如何让 Python ssl 模块使用内存中包含 ssl pem 文件内容的数据而不是它们的硬文件系统路径?

class SSLSocket 的构造函数调用 load_verify_locations(ca_certs)load_cert_chain(certfile, keyfile),我无法追踪到它们,因为它们是 .pyd 文件。在那些黑盒子里,我假设这些文件被读入内存。我怎样才能缩短流程并直接传递数据? (也许换掉 .pyd?...)

我的其他想法是:我可以使用 io.StringIO 创建一个虚拟文件,然后传递文件描述符。我已经将这个概念与 classes 一起使用,它将采用描述符而不是路径。不幸的是,这些 classes 不是那样设计的。

或者,也许使用虚拟文件系统/ram 驱动器?但这可能会很麻烦,因为我需要它是跨平台的。另外,如果有人可以从任何外部程序访问这些路径,那可能会否定我正在尝试做的事情...

我想我可以将它们作为真实文件保存,但是"hide"它们在文件系统的某个地方。

我不是第一个遇到这个问题的人。

更新

我找到了 "black boxes"...

的来源

https://github.com/python/cpython/blob/master/Modules/_ssl.c

它们按预期工作。他们只是从路径中读取文件内容,但你必须深入到 C 层才能做到这一点。

我可以用 C 编写,但我从未尝试过重新编译底层 Python 源代码。看起来也许我应该按照此处的说明 https://devguide.python.org/ 提取 Python 存储库,并进行更改。我想我可以将我的更新提交给 Python 社区,看看他们是否想像我描述的那样制作一个新的标准化功能......看来还有很多工作要做......

虽然费了点功夫,但我确实按照我建议的方式解决了这个问题。我修改了_ssl.cPython模块/扩展中的底层代码,并整体重建了Python。在弄清楚从源代码构建 Python 的过程后,我必须学习如何在 Python 和 C 之间传递变量的细节,并且我需要深入了解 OpenSSL(Python 模块是一个包装器)。

幸运的是,OpenSSL 已经有了用于这个确切目的的函数,所以这只是换掉 Python 试图将文件路径传递到 C 的方式,而不是绕过文件读取过程和直接跳到直接使用 ca/cert/key 数据的实现。

目前,我只为 Windows 做了这件事。因为我最终要创建一个跨平台程序,所以我将不得不为我支持的其他平台重复构建过程——这很麻烦。想想你有多想要这个,如果你要自己追求它......

请注意,当我重建 Python 时,我并没有将其用作我实际的 Python 安装。我只是把它放在一边。

这个过程真正好的一件事是,在重建之后,我需要做的就是将单个新的 _ssl.pyd 放到我的工作目录中。有了那个文件,我就可以传递我的直接证书数据。如果我删除它,我可以改为传递正常的文件路径。它将使用正常的 Python 源,或者如果 .pyd 文件只是放在程序目录中则隐式使用覆盖。