gpt4 book ai didi

ruby-on-rails - Secrets.yml 与 ENV 变量与选项?

转载 作者:行者123 更新时间:2023-12-04 18:46:22 24 4
gpt4 key购买 nike

作为一个没有 CS 学位的新手,很难区分最佳实践、惯例和安全风险。

我用 secrets.yml结合 .rbenv-vars对于我的 Rails 应用程序,因为它似乎很容易。我知道我可以使用 Figaro 之类的东西来做基本相同的事情,但最佳实践和最安全的是什么?对于开发,我只是将 key 直接放在 secrets.yml 中,并使用 env-vars 进行生产设置。

有人可以解释一下 1)使用 env-vars 而不是仅使用 secrets.yml 的原因(提供它的 git-ignored!欢迎使用链接)2)这是最佳实践和通用约定吗?

最佳答案

两者都是常见的。从安全的角度来看,如果有人能够访问您的环境变量,他们可能也能够访问您的代码。代码运行后,无论哪种方式,值都在内存中。

您将看到,默认情况下,secrets.yml 配置为从生产环境中获取 SECRET_KEY_BASE:

production:
secret_key_base: <%= ENV["SECRET_KEY_BASE"] %>

一个很好的理由是让应用程序在生产中运行。拥有此功能可以更改 key 并重新启动应用程序,而无需修改任何文件。对于在 Cloud Foundry、Heroku 等中运行的应用程序,这可能非常方便。

关于ruby-on-rails - Secrets.yml 与 ENV 变量与选项?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/37486174/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com