使用Git将我的第一个应用程序推送到Heroku,然后立即获得了Interanl服务器错误。
您必须在应用的配置中设置config.secret_key_base。
这是因为在我的.gitignore文件中包含以下文件:
配置/初始化/ secret_token.rb
我在我的.gitignore文件中使用标准模板:https://github.com/github/gitignore/blob/master/Rails.gitignore
我的问题:我是否应该直接通过Heroku设置此密钥以增加安全性,如果是这样的话?
OR
我应该从我的.gitignore文件中删除这一行吗?
答案 0 :(得分:32)
除了在Heroku上设置秘密令牌作为ENV变量之外,如Nick Ginanto所述,您还需要以下内容才能完成这项工作。
从config/initializers/secret_token.rb
.gitignore
将此文件中的行更改为:
MyApp::Application.config.secret_token = ENV['SECRET_TOKEN']
然后,这将获取您使用Heroku的配置变量设置的秘密令牌。
为了在您的本地环境中选择令牌,您需要添加它。这里有很多选项,但最接近Heroku的选项是在项目根目录中使用foreman gem和.env文件。 .env需要具有secret_token
SECRET_TOKEN=NKUd7gisd7fueAISDfg....
您可以使用rake secret命令生成令牌。确保将.env文件添加到.gitignore。
完成所有这些后,您将拥有Heroku和本地的不同令牌,您的令牌将不在您的源代码管理中。
答案 1 :(得分:10)
删除硬编码的秘密,将秘密初始化程序检查到版本控制中,在Heroku上设置环境变量,并为开发和阶段提供后备。
编辑config / initializers / secure_random.rb以删除生产的硬编码密码。如果您不想改变启动服务器的方式,可以选择包括非生产环境的后备。
secret = Rails.env.production? ? ENV['SECRET_TOKEN'] : "top_secret_token"
YourApp::Application.config.secret_key_base = secret
修改.gitignore并删除该行:
config/initializers/secret_token.rb
现在提交文件。
执行命令
rake secret
生成随机字母数字字符串。我想通过手动混合密钥来加倍确定,以防密钥生成算法中发现未来的弱点,就像不久前Debian所发生的那样。可能这是不必要的。
下次运行:
heroku config:set SECRET_TOKEN=paste_random_string_here
将秘密设置为Heroku环境变量。部署到Heroku,你就完成了。
答案 2 :(得分:5)
最好使用ENV变量。
这样,如果需要,您可以快速使所有cookie无效,每个环境都有一个单独的秘密,无需以特殊方式处理该文件
heroku config:set SECRET_TOKEN=ertbs45tnsb3aw5bsxdrt54...
如果您复制了应用程序或在heroku中设置了其他应用程序,则每个应用程序都将拥有自己的secret_token。 在本地机器上只需设置相同的变量