Jestem dość zdezorientowany, co jest secret_token używane w Rails. Czy ktoś może wyjaśnić, do czego służy? Czy można umieścić ten token w publicznym repozytorium źródłowym i używać go w produkcji, czy też powinienem to zmienić przed wdrożeniem mojej aplikacji, aby zapobiec niektórym rodzajom ataków?Tajny token Railsy
23
A
Odpowiedz
31
Odpowiadając na moje własne pytanie - secret_token służy do zapobiegania manipulowaniu cookie w Railsach. Każdy plik cookie ma zapisaną sumę kontrolną, więc użytkownicy nie będą modyfikować zawartości plików cookie (i zmieniać zapisanego identyfikatora użytkownika, aby wykraść konto danej osoby, na przykład). Suma kontrolna jest oparta na zawartości plików cookie i secret_token, więc jeśli używasz sesji opartych na plikach cookie, powinieneś zawsze upewnić się, że twój sekretny_token jest naprawdę tajny, w przeciwnym razie nie można ufać, że wszystko, co wprowadziłeś do sesji, powróciło bez zmian.
Powiązane problemy
- 1. NodeJS - Wymagany sekret tajny
- 2. Jak odnowić tajny token dostępu w celu integracji Intuit QuickBooks z aplikacją .net?
- 3. PyDrive: Nieprawidłowy plik tajny klienta
- 4. Jak zdobyć token dostępu i dostęp Token Secret z Magento 1.7 REST API
- 5. Railsy after_commit?
- 6. OAuth - tajny klucz klienta w aplikacji?
- 7. Czy "tajny operator" Kozła Perla jest wydajny?
- 8. Ukryj tajny klucz w publicznym repozytorium
- 9. Dla RSA, jak obliczyć tajny wykładnik?
- 10. Utrzymanie tajny klucz i token dostępu do JWT w Express i NodeJS z Facebook w Rest API
- 11. JWT (Json web token) Vs Custom Token
- 12. Railsy 4 pomijam protect_from_forgery dla akcji API
- 13. Railsy redirect_to z parametrami
- 14. Wymagany formularz wyboru Railsy
- 15. Railsy + Deszyfrowanie SSL PostgreSQL
- 16. Log Railsy zbyt szczegółowe
- 17. Railsy redirect_to post method?
- 18. Railsy 4 + append_view_path
- 19. Railsy Niepoprawny błąd daty
- 20. Railsy Script/generowanie błędu
- 21. Komunikat sprawdzania poprawności railsy
- 22. Czy Railsy są przestarzałe?
- 23. Railsy current_path Helper?
- 24. Kiedy Railsy kompilują CoffeeScript?
- 25. Szyny Auth Token i Ajax
- 26. LDAP przez Ruby lub Railsy
- 27. Railsy RABL if else statement
- 28. Błąd wyświetlania nowej aplikacji Railsy
- 29. Railsy 3.x Długość TLD
- 30. niezainicjowane stałe Railsy :: Generatory (NameError)