Pydantic中Secret类型与正则表达式验证的正确使用方式

在Pydantic V2版本中，Secret类型是一种特殊的数据类型，用于处理敏感信息。它能够自动隐藏敏感数据的真实值，在日志输出或字符串表示时只显示星号(*)。然而，当开发者尝试结合Secret类型和正则表达式验证时，可能会遇到一些意料之外的行为。

问题现象

开发者在使用Secret类型包装带有正则表达式验证的字符串时，发现不符合正则模式的输入也能通过验证。例如：

from typing import Annotated
from pydantic import Field, Secret
from pydantic_settings import BaseSettings

class Settings(BaseSettings):
    token: Secret[Annotated[str, Field(pattern=r"[a-zA-Z0-9]+")]]

Settings(token="abc-_=+123")  # 本应验证失败却通过了

这个例子中，正则表达式[a-zA-Z0-9]+本应只允许字母和数字，但包含特殊字符-_=+的字符串却通过了验证。

问题根源

经过深入分析，发现这是因为正则表达式缺少了边界匹配符^和$。在正则表达式中：

• ^表示字符串的开始
• $表示字符串的结束

没有这两个符号时，正则表达式会在字符串中查找任何匹配的子串，而不是要求整个字符串都匹配模式。因此，"abc-_=+123"中的abc和123都匹配了[a-zA-Z0-9]+，导致验证通过。

正确用法

正确的做法是在正则表达式中明确指定字符串边界：

from typing import Annotated
from pydantic import Field, Secret, BaseModel

class Settings(BaseModel):
    token: Secret[Annotated[str, Field(pattern=r"^[a-zA-Z0-9]+$")]]

Settings(token="abc-_=+123")  # 现在会正确抛出ValidationError

深入理解Secret类型

Secret类型在Pydantic中是一个泛型包装器，它可以包装任何其他类型并添加敏感信息处理能力。当与Field验证器结合使用时，验证逻辑会先应用于内部类型，然后再进行Secret包装。

这种设计使得Secret类型可以透明地继承内部类型的所有验证行为，包括：

• 类型检查
• 最小/最大长度限制
• 正则表达式验证
• 自定义验证器

最佳实践

在使用Secret类型结合正则验证时，建议：

1. 总是使用^和$明确字符串边界
2. 先测试内部类型的验证行为，确保正则表达式按预期工作
3. 考虑使用预编译的正则模式提高性能
4. 对于复杂的验证逻辑，可以使用自定义验证器

from typing import Annotated
import re
from pydantic import Field, Secret, BaseModel, field_validator

class Settings(BaseModel):
    token: Secret[Annotated[str, Field(pattern=r"^[a-zA-Z0-9]+$")]]
    
    @field_validator('token')
    def validate_token(cls, v):
        # 额外的自定义验证逻辑
        if len(str(v)) < 8:
            raise ValueError("Token too short")
        return v

总结

Pydantic的Secret类型为处理敏感数据提供了便利，但在结合正则表达式验证时需要特别注意边界匹配问题。通过正确使用^和$，可以确保验证逻辑按预期工作。理解Secret类型的工作原理有助于开发者构建更安全、更健壮的数据验证系统。