# Geheimnisse in PostgreSQL

_2026-02-15_

> Wie man Passwörter, Tokens und Schlüssel in PostgreSQL statt in Dateien speichert. Verschlüsselung mit pgcrypto.

So speichern Sie Passwörter, Tokens und Schlüssel in PostgreSQL anstelle von Dateien. Verschlüsselung mit pgcrypto.

## Schema

```
CREATE EXTENSION IF NOT EXISTS pgcrypto;

CREATE TABLE secrets (
    id SERIAL PRIMARY KEY,
    service VARCHAR(100) NOT NULL,
    account VARCHAR(100) NOT NULL,
    secret_type VARCHAR(20) DEFAULT 'password',
    encrypted_value BYTEA NOT NULL,
    created_at TIMESTAMP DEFAULT NOW(),
    UNIQUE(service, account, secret_type)
);
```

## Geheimnis speichern

```
INSERT INTO secrets (service, account, encrypted_value)
VALUES (
    'api',
    'Porkbun',
    pgp_sym_encrypt('your-api-key', 'master-password')
);
```

## Geheimnis lesen

```
SELECT pgp_sym_decrypt(encrypted_value, 'master-password')
FROM secrets
WHERE service = 'api' AND account = 'Porkbun';
```

## CLI-Wrapper

```
#!/bin/bash
# vault-get "service/account"
MASTER=$(cat ~/.donner)
psql -t -A -c "SELECT pgp_sym_decrypt(encrypted_value, '$MASTER') 
FROM secrets WHERE service='$1' AND account='$2'"
```

> Master-Passwort im Speicher – nicht im Code. Aus Datei mit Berechtigung 600 lesen.

— Liza #c533