12
每個新的Play應用程序都會在其配置文件中生成一個新的應用程序密鑰。如何讓應用程序祕密保密?
application.secret=asdfadsfdasf
我正在開發將在Heroku上部署的開源應用程序。我該如何保密這個應用程序的祕密(例如,不把它提交到源代碼控制中)?
究竟應用的祕密在哪裏?也許對於我有限的目的,我並不需要保守祕密?
A
回答
24
可以外部化的祕密作爲一個環境變量。
在conf/application.conf只需更換
application.secret=abc123...
與
application.secret=${APP_SECRET}
,然後將該配置無功在Heroku上有:
$ heroku config:add APP_SECRET=abc123...
現在你可以在每個應用管理的祕密並避免將它們檢入版本控制。
0
看起來這個祕密很重要,但你可以爲生產和開發生成新的。因此對於開發,您可以將其檢入到SVN中,然後爲生產生成一個不同的版本。
+0
但我的SVN中的application.conf(以及git)將被部署到生產環境中。改寫,我想保持我的application.conf在源代碼控制下。我的產品部署將僅僅是Heroku的'git push'。那麼,我應該運行一個後期部署腳本來更改應用程序密鑰嗎?但是......這個腳本是否存儲在源代碼控制之下?部署到Heroku時有什麼實際的解決方案? – ripper234 2011-12-31 05:33:17
+0
我想我主張不要簡單地使用git push,但是你需要一個在推送到產品之前生成一個新密鑰的腳本,所以不會將它檢入到源代碼控制中。我不確定的問題是,如果您在每次推送意願時重新生成密鑰,都會產生問題?如果不是,將祕密存放在生產中可能並不重要。 – chubbsondubs 2011-12-31 05:46:34
+0
我不認爲更改應用程序密鑰是一個好主意。如果你登錄了一些東西(例如哈希用戶密碼),你需要能夠重複這個確切的簽名,我相信這(確實)應該使用應用程序祕密。 – ripper234 2011-12-31 05:49:20
相關問題
- 1. 保持祕密密鑰祕密 - 在Android應用程序..任何想法
- 2. 應用程序的祕密在哪裏?
- 3. OAuth祕密和桌面應用程序
- 4. Facebook應用程序ID和祕密
- 5. Facebook應用程序ID和祕密密鑰的用途
- 6. Android的開發應用程序密鑰和應用程序的祕密
- 7. 密鑰保管庫密鑰與祕密
- 8. 如何密碼保護應用程序
- 9. 如何讓Python Web應用程序保密?
- 10. 我應該加密我的Dropbox應用程序密鑰/祕密嗎?
- 11. 通過API密鑰/祕密獲取Facebook應用程序ID
- 12. 我們如何混淆android應用程序中的twitter API密鑰和祕密
- 13. 如何找到FB應用程序所有者,如果我只有FB應用程序密鑰和祕密?
- 14. 如何確保Web應用程序正在加密密碼
- 15. 如何在應用程序中保留加密密碼?
- 16. 我如何爲我的頁面獲取應用程序祕密?
- 17. 湯姆如何找到/獲取DropBox應用程序的祕密?
- 18. 如何爲應用程序的隱私添加祕密功能
- 19. 如何保護解析初始化與應用程序和祕密?
- 20. 如何在Phusion Passenger Sinatra應用程序中保護我的OAuth祕密?
- 21. 如何保持.NET程序邏輯(合理)的祕密?
- 22. 程序如何保守其創建者的祕密?
- 23. 我應該如何使用express.cookieParser()祕密?
- 24. 您在哪裏/如何在Spring Boot應用程序中存儲應用程序祕密(密碼,API KEY)
- 25. 如何保持Google Apps腳本祕密?
- 26. 是從與應用祕密
- 27. 保守祕密的Apps
- 28. Dropbox Java SDK。如何隱藏應用公開和祕密密鑰
- 29. phpMyAdmin:祕密密碼?
- 30. 使用密碼保護應用程序
這聽起來很對 - 謝謝! – ripper234 2011-12-31 06:59:53
如果你不打算使用heroku進行部署?有沒有選擇使用像jasypt的東西 – 2013-06-13 08:29:03