Python配置管理无官方标准，核心是分离配置与代码、支持多环境、安全加载敏感项、避免运行时异常；常见问题包括configparser读取失败、os.environ与dotenv优先级混淆、pydantic-settings校验未触发、Fernet比cryptography更适配配置加密。

Python 配置管理系统没有一个官方“标准实现”，所谓“核心原理”其实是围绕几个关键问题展开的：如何分离配置与代码、如何支持多环境、如何安全加载敏感项、以及如何避免 ImportError 或 KeyError 在运行时暴雷。直接上抽象概念不如先盯住三个最常出问题的环节。

为什么 configparser 读不到 .ini 文件里的变量？

常见现象是调用 config.get('section', 'key') 报 NoSectionError 或 NoOptionError，根本原因往往不是文件路径错，而是：

• ConfigParser.read() 返回的是成功加载的文件列表，不抛异常也不校验内容——哪怕传了个空字符串或不存在的路径，它也默默返回 []
• 默认不开启 interpolation，导致 %(host)s 这类引用无法展开
• 文件编码不是 utf-8-sig（尤其 Windows 记事本保存的 .ini），会静默跳过整段

实操建议：始终检查 read() 返回值，显式指定编码，并启用插值：

import configparser
config = configparser.ConfigParser(interpolation=configparser.ExtendedInterpolation())
files_read = config.read('app.ini', encoding='utf-8-sig')
if not files_read:
    raise FileNotFoundError("config file not found or empty")

os.environ 和 dotenv 混用时，哪个值生效？

顺序决定优先级：os.environ 是运行时环境，python-dotenv 只是把它作为初始输入源。调用 load_dotenv() 后再改 os.environ['DEBUG'] = 'false'，后续所有 os.getenv('DEBUG') 都取新值。

容易踩的坑：

• load_dotenv() 默认只加载当前目录下的 .env，不递归向上找；用 find_dotenv() 才能模拟 Node.js 的行为
• dotenv 不覆盖已存在的环境变量（除非加 override=True），所以本地 export DB_URL=xxx 会优先生效
• Flask/Django 启动前没调 load_dotenv()，框架内部读的仍是空环境

用 pydantic-settings 做配置校验，为什么 BaseSettings 不报错？

因为 BaseSettings 已被弃用，新包叫 pydantic-settings，且必须显式继承 BaseSettings（来自新模块）并调用 .model_validate({}) 或实例化才触发校验。

典型错误写法：

from pydantic_settings import BaseSettings
class Settings(BaseSettings):
db_url: str
debug: bool = False
❌ 这行不触发任何校验
Settings()

正确做法是主动实例化，并捕获 ValidationError：

from pydantic_settings import BaseSettings
from pydantic import ValidationError
class Settings(BaseSettings):
db_url: str
debug: bool = False
try:
settings = Settings()  # ✅ 此时才从 env / dotenv / defaults 加载并校验
except ValidationError as e:
print(e)

注意：它默认从环境变量读取（DB_URL 对应 db_url），不是自动读 .env 文件——得配 env_file='.env' 参数。

生产环境配置加密，cryptography 和 fernet 怎么选？

别自己实现 AES 加密逻辑。fernet 是 cryptography 提供的高阶封装，强制使用 128-bit 密钥、AES-CBC + HMAC-SHA256，且内置时间戳防重放——对配置加密足够安全又省心。

关键限制：

• Fernet 只支持 bytes，配置值得先 .encode()，解密后要 .decode()
• 密钥必须严格 32 字节（base64.urlsafe_b64encode(os.urandom(32)) 生成）
• 不能加密空字符串或仅空白符——会抛 CryptoError

配置项本身不加密，只加密敏感字段值。比如 DB_PASSWORD 的值用 fernet 加密后存进 .env，运行时解密赋给 settings.db_password。

真正难的不是选哪个库，而是决定哪些配置该进环境变量、哪些该进文件、哪些必须加密、哪些该由 CI/CD 注入——这些决策一旦固化，后期替换方案的成本远高于写几行代码。