为什么有人会使用Heroku(与安全相关)?

时间:2009-07-21 06:29:00

标签: security ssl heroku

Heroku似乎很棒,但大多数非平凡的应用程序都需要身份验证,而传统的身份验证方案需要SSL连接,而且https://your_app_name.com无法获取(https://your_app_name.heroku.com}。

所以如果你正在使用Heroku,那就是:

  1. 您不介意指导用户 另一个域(看起来很漂亮 坏)
  2. 你不介意前述 用于身份验证的SSL(似乎真的 坏)
  3. 您的应用不需要身份验证

5 个答案:

答案 0 :(得分:43)

现在这是一个有争议的问题。根据文档(http://docs.heroku.com/ssl,请参阅http://addons.heroku.com/了解定价),Heroku现在允许自定义域通过其SSL端点插件获得SSL。

https://devcenter.heroku.com/articles/ssl-endpoint

Heroku也只是announced support for SNI。这将允许他们将SSL附加到Heroku服务上托管的任何域。它仍然处于测试阶段,但很快就会被推到每个人身上。 Heroku继续改进他们的安全产品。

答案 1 :(得分:18)

嘿,这是来自Heroku的詹姆斯。由于SSL协议存在根本问题,因此无法在自定义域中使用SSL是所有多租户平台共享的问题。一个解决方案正在进行中,我们将在完成计划后立即发布详细信息。

答案 2 :(得分:2)

我正在使用Twitter的OAuth在我的应用上进行身份验证(通过twitter-auth)。

通用OpenID甚至Facebook Connect也可以正常工作,因为每个都处理其他人服务器上的敏感认证位。

Authlogic是一个身份验证gem,其中包含每种方法的插件。

但是,如果您愿意支付反映在多租户环境中使SSL工作的难度的价格,Heroku现在完全支持SSL。

答案 3 :(得分:0)

您可以在Heroku中使用自定义域名。但这不包括在免费帐户中。此外,Heroku使得部署Ruby on Rails应用程序变得非常简单。在廉价的托管服务提供商上部署Ruby on Rails应用程序只会给你有限的任何shell访问权限,这可能是一场噩梦。没有提到Heroku的服务器已经预先配置为优化Ruby on Rails代码,同样扩展只是在用户界面上滑动缩放。

答案 4 :(得分:0)

使用Heroku,您可以使用自定义域名(在免费版本中也是如此)。 扩展很容易,非常简单,并且它们使它变得更好和更好(我正在测试memcached并且工作就像魅力,延迟工作,备份系统和git集成也很棒)。 我写的唯一问题是SSL ...