随着secrets.yml文件的发布,我删除了对Figaro的依赖并将所有密钥移至secrets.yml并将该文件添加到.gitignore。
但是当我试图推送到Heroku时,Heroku说他们需要我的仓库中的那个文件才能部署网站。这是有道理的,但如果我可以避免它,我不希望我的密钥在git中。
使用Figaro,我会运行一个rake任务,将密钥部署到heroku作为env变量,并将application.yml保存在.gitignore中。显然,我不能再这样做了。那我该怎么处理呢?
答案 0 :(得分:20)
秘密不是环境变量问题的完整解决方案,也不是Figaro之类的直接替代品。将Secrets视为一个额外的界面,您现在应该在您的应用程序和更广泛的环境变量世界之间使用。这就是为什么你现在应该使用Rails.application.secrets.your_variable而不是ENV["your_variable"]来调用变量。
secrets.yml文件本身就是那个界面,它并不意味着包含实际的秘密(它没有很好地命名)。您可以看到这一点,因为即使在文档的示例中,Secrets也会为任何敏感值(例如SECRET_KEY_BASE值)导入环境变量,并自动将其检入源代码管理中。
因此,不要试图将Secrets破解成某种全流程环境变量管理解决方案,而是顺其自然:
secrets.yml中拉出来。secrets.yml检查到源代码管理中,就像他们默认的那样。 some_var: <%= ENV["some_var"] %>)关键是,无论你如何管理你的ENV变量 - 无论是手动,使用Figaro,.env文件,无论...... secrets.yml只是一个翻译界面这些ENV vars进入你的Rails应用程序。
虽然它增加了一个额外的抽象步骤和一些额外的工作,但使用这种接口方法是有好处的。
无论你是否相信它在概念上是一个好主意或不使用秘密,它将为你节省很多头痛,只是顺其自然。
PS。如果您确实选择破解它,请小心heroku_secrets gem。在撰写本文时,它在启动序列中以before_initialize运行,因此您的ENV变量将不可用于config/environments/目录中的任何配置文件(这是您通常会将它们用于亚马逊S3密钥)。
答案 1 :(得分:7)
Figaro任务的secrets.yml的等价物由heroku_secrets gem提供,来自https://github.com/alexpeattie/heroku_secrets:
gem 'heroku_secrets', github: 'alexpeattie/heroku_secrets'
这可以让你运行
rake heroku:secrets RAILS_ENV=production
将secretts.yml的内容作为环境变量提供给heroku。
答案 2 :(得分:0)