23
我很困惑什么是在Rails中使用的secret_token。任何人都可以解释它用于什么吗?将此令牌放入公共源代码存储库并在生产环境中使用它可以吗?或者在部署我的应用程序之前更改它以防止某些类型的攻击?Rails秘密令牌
A
回答
31
回答我自己的问题 - secret_token用于防止Cookie在Rails中被篡改。每个cookie都会保存一个校验和,因此用户不会修改cookie内容(例如,更改保存的用户ID来窃取某人的帐户)。校验和基于cookie内容和secret_token,因此如果您使用的是基于cookie的会话,您应该始终确保您的secret_token真的是秘密的,否则您不能相信您投入会话的任何内容都会保持不变。
相关问题
- 1. 格纹访问令牌是秘密吗?
- 2. OAuth:存储访问令牌和秘密
- 3. Twitter OAuth令牌/秘密发生器
- 4. JTwitter访问令牌和访问令牌的秘密
- 5. 什么是访问令牌与访问令牌的秘密和消费者密钥与消费者的秘密
- 6. 从aws中获取访问令牌,秘密访问密钥和会话令牌
- 7. 缺少的秘密令牌,密钥基地生产
- 8. 如何在iOs上获取Twitter访问令牌和秘密?
- 9. Git如何决定在哪里保存秘密令牌?
- 10. DotNetOpenAuth TwitterConsumer“无法查找消费者或令牌的秘密。”
- 11. 使用OpenID + OAuth获取访问令牌和秘密(谷歌)
- 12. 如何在Android中使用Oauth中的令牌和秘密
- 13. 从gdata.gauth.OAuthHmacToken检索令牌和秘密python对象
- 14. Azure应用程序ID是否被视为秘密令牌
- 15. 将秘密令牌传递给JS视图
- 16. Oauth查询 - 使用访问令牌和秘密
- 17. 创建OAuth API时的应用程序令牌/秘密
- 18. nginx的反向代理 - 只允许有“秘密令牌”
- 19. Twitter与Oauth ASP.NET MVC,在哪里存储秘密令牌
- 20. 在Android中获取用户令牌和Google API的秘密
- 21. 用Oauth做一个基于java的休息调用消费者密钥,秘密,访问令牌和令牌秘密
- 22. 为什么令牌秘密在OAUTH中以未加密方式返回?
- 23. 如何使用SHA256创建密钥,值对和秘密签名的令牌?
- 24. 重用的OAuth令牌和秘密,当消费者密钥的Twitter应用程序(Rails)的
- 25. 加密Devise令牌
- 26. org.scribe.exceptions.OAuthException:响应正文不正确。不能提取此令牌和秘密:“令牌无效
- 27. Google OAuth 2.0 Java库如何处理访问令牌!如果提供客户端ID,秘密和刷新令牌。
- 28. org.scribe.exceptions.OAuthException:响应正文不正确。无法从中提取令牌和秘密:'无效请求令牌'
- 29. 直线API微软Bot框架 - 获取令牌,而不公开秘密的令牌
- 30. 耙秘密命令不工作