比如 Ruby China 用的是 cookie_store,并且 secret key 现在是知道的,如:https://github.com/ruby-china/ruby-china/blob/master/config/initializers/secret_token.rb
是不是就可以逆向计算出任意用户的 cookie?
由于 Ruby China 是用了 Devise,假如有最简单的 Rails 项目,没有使用这个 gem,是否可以呢?
release = code base + config
,不应该部署的时候通过脚本修改代码替代 config 的职责。nyara 的目标是什么?
PS. 又歪楼了。
是的,我想说的也是这一点。
如果有类似 config.yml.default
这样的处理,可能更好,否则外人并不知道部署这个应用有哪些要注意的问题
似乎 setup.rb
,也么有涉及到这一点
我是这样处理的:
secret_token.rb secret_token.rb.example
真实文件进 gitignore, .example 文件进 repo, readme 里写明部署时需要重置这个文件。
关于楼主的疑问,推荐两篇文章
延伸阅读
其实也是给自己一个提醒
secret_token 就是一个共享公钥,通过这个公钥加密解密 cookie
最近在看《改变未来的 9 大算法》,通俗易懂的好书,推荐大家看一看,其中第二个算法就是公钥加密