Каково действительное использование секретного ключа?
Я играю документацию фреймворка, я нашел это о "секретный ключ"
Play использует секретный ключ для ряда вещей, в том числе:
* Подписание сеансовых файлов cookie и токенов CSRF
* Встроенные утилиты шифрования
Я могу понять, почему они используют секретный ключ для этих вещей. Но я не могу понять, почему я должен назначить такую вещь. Почему они не используют случайное число или что-то подобное, чтобы сделать работу? (Когда я использую команду playGenerateSecret в игровой консоли, я думаю, что они дают мне случайно сгенерированный ключ)
После развертывания моего приложения с секретным ключом мне когда-нибудь понадобится это снова?
1 ответ
Причина, по которой они не генерируют секрет, состоит в том, что это победит цель. Если вы, например, развертываете свое приложение с помощью Ansible, вы можете сохранить свой секрет в файле, зашифрованном в хранилище, а затем установить переменную среды на время воспроизведения Ansible, которое считывает зашифрованный секрет. Затем игра Ansible должна создать артефакт локально и загрузить его на удаленный сервер. Таким образом, сервер, на котором вы развертываете, никогда не знает секретов приложения!