Каково действительное использование секретного ключа?

Я играю документацию фреймворка, я нашел это о "секретный ключ"

Play использует секретный ключ для ряда вещей, в том числе:

* Подписание сеансовых файлов cookie и токенов CSRF

* Встроенные утилиты шифрования

Я могу понять, почему они используют секретный ключ для этих вещей. Но я не могу понять, почему я должен назначить такую ​​вещь. Почему они не используют случайное число или что-то подобное, чтобы сделать работу? (Когда я использую команду playGenerateSecret в игровой консоли, я думаю, что они дают мне случайно сгенерированный ключ)
После развертывания моего приложения с секретным ключом мне когда-нибудь понадобится это снова?

1 ответ

Решение

Причина, по которой они не генерируют секрет, состоит в том, что это победит цель. Если вы, например, развертываете свое приложение с помощью Ansible, вы можете сохранить свой секрет в файле, зашифрованном в хранилище, а затем установить переменную среды на время воспроизведения Ansible, которое считывает зашифрованный секрет. Затем игра Ansible должна создать артефакт локально и загрузить его на удаленный сервер. Таким образом, сервер, на котором вы развертываете, никогда не знает секретов приложения!

Другие вопросы по тегам