Secret Key的实际用途是什么?
What is the actual use of Secret Key?
我玩框架的文档我发现了关于 "secret key"
Play uses a secret key for a number of things, including:
*Signing session cookies and CSRF tokens
*Built in encryption utilities
我能理解为什么他们对这些东西使用密钥。但是我不明白为什么我必须分配这样的东西。他们为什么不使用随机数或类似的东西来完成这项工作? (当我在游戏控制台中使用 playGenerateSecret 命令时,我认为他们会给我一个随机生成的密钥)
使用密钥部署我的应用程序后,我是否需要再次使用它?
他们不生成秘密的原因是因为它会破坏目的。例如,如果您使用 Ansible 部署您的应用程序,您可以将您的秘密存储在一个保险库加密文件中,然后在 Ansible 运行期间设置一个环境变量来读取加密的秘密。然后,Ansible play 应该在本地构建工件并将其上传到远程服务器。这样,您要部署到的服务器实际上永远不知道应用程序的秘密!
我玩框架的文档我发现了关于 "secret key"
Play uses a secret key for a number of things, including:
*Signing session cookies and CSRF tokens
*Built in encryption utilities
我能理解为什么他们对这些东西使用密钥。但是我不明白为什么我必须分配这样的东西。他们为什么不使用随机数或类似的东西来完成这项工作? (当我在游戏控制台中使用 playGenerateSecret 命令时,我认为他们会给我一个随机生成的密钥)
使用密钥部署我的应用程序后,我是否需要再次使用它?
他们不生成秘密的原因是因为它会破坏目的。例如,如果您使用 Ansible 部署您的应用程序,您可以将您的秘密存储在一个保险库加密文件中,然后在 Ansible 运行期间设置一个环境变量来读取加密的秘密。然后,Ansible play 应该在本地构建工件并将其上传到远程服务器。这样,您要部署到的服务器实际上永远不知道应用程序的秘密!