每个新的Play应用都会在其配置文件中生成一个新的应用密钥。
application.secret=asdfadsfdasf
我正在开发一个将部署在Heroku上的开源应用程序。如何保密应用秘密(例如,不将其提交到源代码管理中)?
应用秘密究竟在哪里使用?也许对于我有限的目的,我真的不必保守秘密吗?
答案 0 :(得分:24)
您可以将秘密外部化为环境变量。
在conf/application.conf
简单地替换
application.secret=abc123...
与
application.secret=${APP_SECRET}
然后在Heroku中使用以下命令设置此配置变量:
$ heroku config:add APP_SECRET=abc123...
现在,您可以基于每个应用程序管理机密,并避免将其检入版本控制。
答案 1 :(得分:0)
看起来这个秘密很重要,但你可以为生产和开发生成新的秘密。因此,对于开发,您可以将其检入SVN,然后生成另一个用于生产。