如何保密应用秘密?

时间:2011-12-31 05:01:34

标签: java heroku playframework

每个新的Play应用都会在其配置文件中生成一个新的应用密钥。

application.secret=asdfadsfdasf

我正在开发一个将部署在Heroku上的开源应用程序。如何保密应用秘密(例如,不将其提交到源代码管理中)?

应用秘密究竟在哪里使用?也许对于我有限的目的,我真的不必保守秘密吗?

2 个答案:

答案 0 :(得分:24)

您可以将秘密外部化为环境变量。

conf/application.conf简单地替换

application.secret=abc123...

application.secret=${APP_SECRET}

然后在Heroku中使用以下命令设置此配置变量:

$ heroku config:add APP_SECRET=abc123...

现在,您可以基于每个应用程序管理机密,并避免将其检入版本控制。

答案 1 :(得分:0)

看起来这个秘密很重要,但你可以为生产和开发生成新的秘密。因此,对于开发,您可以将其检入SVN,然后生成另一个用于生产。

http://www.playframework.org/documentation/1.0/production