Heroku配置密钥基本错误

时间:2013-09-01 09:15:09

标签: ruby-on-rails heroku

使用Git将我的第一个应用程序推送到Heroku,然后立即获得了Interanl服务器错误。

您必须在应用的配置中设置config.secret_key_base。

这是因为在我的.gitignore文件中包含以下文件:

配置/初始化/ secret_token.rb

我在我的.gitignore文件中使用标准模板:https://github.com/github/gitignore/blob/master/Rails.gitignore

我的问题:我是否应该直接通过Heroku设置此密钥以增加安全性,如果是这样的话?

OR

我应该从我的.gitignore文件中删除这一行吗?

3 个答案:

答案 0 :(得分:32)

除了在Heroku上设置秘密令牌作为ENV变量之外,如Nick Ginanto所述,您还需要以下内容才能完成这项工作。

config/initializers/secret_token.rb

中删除.gitignore

将此文件中的行更改为:

MyApp::Application.config.secret_token = ENV['SECRET_TOKEN']

然后,这将获取您使用Heroku的配置变量设置的秘密令牌。

为了在您的本地环境中选择令牌,您需要添加它。这里有很多选项,但最接近Heroku的选项是在项目根目录中使用foreman gem.env文件。 .env需要具有secret_token

SECRET_TOKEN=NKUd7gisd7fueAISDfg....

您可以使用rake secret命令生成令牌。确保将.env文件添加到.gitignore

完成所有这些后,您将拥有Heroku和本地的不同令牌,您的令牌将不在您的源代码管理中。

答案 1 :(得分:10)

将其设置为Heroku环境变量&为发展提供后备支持

删除硬编码的秘密,将秘密初始化程序检查到版本控制中,在Heroku上设置环境变量,并为开发和阶段提供后备。

1。删除硬编码的密钥,并可选择提供后备:

编辑config / initializers / secure_random.rb以删除生产的硬编码密码。如果您不想改变启动服务器的方式,可以选择包括非生产环境的后备。

secret = Rails.env.production? ? ENV['SECRET_TOKEN'] : "top_secret_token"
YourApp::Application.config.secret_key_base = secret

2。检查config / initializers / secure_random.rb到git

修改.gitignore并删除该行:

config/initializers/secret_token.rb

现在提交文件。

3。设置Heroku

的密钥

执行命令

rake secret

生成随机字母数字字符串。我想通过手动混合密钥来加倍确定,以防密钥生成算法中发现未来的弱点,就像不久前Debian所发生的那样。可能这是不必要的。

下次运行:

heroku config:set SECRET_TOKEN=paste_random_string_here

将秘密设置为Heroku环境变量。部署到Heroku,你就完成了。

答案 2 :(得分:5)

最好使用ENV变量。

这样,如果需要,您可以快速使所有cookie无效,每个环境都有一个单独的秘密,无需以特殊方式处理该文件

heroku config:set SECRET_TOKEN=ertbs45tnsb3aw5bsxdrt54...

如果您复制了应用程序或在heroku中设置了其他应用程序,则每个应用程序都将拥有自己的secret_token。 在本地机器上只需设置相同的变量