Каково действительное использование секретного ключа?

Question

Каково действительное использование секретного ключа?

Я играю документацию фреймворка, я нашел это о "секретный ключ"

Play использует секретный ключ для ряда вещей, в том числе:
* Подписание сеансовых файлов cookie и токенов CSRF
* Встроенные утилиты шифрования

Я могу понять, почему они используют секретный ключ для этих вещей. Но я не могу понять, почему я должен назначить такую вещь. Почему они не используют случайное число или что-то подобное, чтобы сделать работу? (Когда я использую команду playGenerateSecret в игровой консоли, я думаю, что они дают мне случайно сгенерированный ключ)
После развертывания моего приложения с секретным ключом мне когда-нибудь понадобится это снова?

0

playframework playframework-2.5

Источник

user4383820 26 авг '16 в 09:15

1 ответ

Решение

Другие вопросы по тегам playframework playframework-2.5

user6535462 26 авг '16 в 17:17 2016-08-26 17:17 · Accepted Answer · 2016-08-26 17:17

Причина, по которой они не генерируют секрет, состоит в том, что это победит цель. Если вы, например, развертываете свое приложение с помощью Ansible, вы можете сохранить свой секрет в файле, зашифрованном в хранилище, а затем установить переменную среды на время воспроизведения Ansible, которое считывает зашифрованный секрет. Затем игра Ansible должна создать артефакт локально и загрузить его на удаленный сервер. Таким образом, сервер, на котором вы развертываете, никогда не знает секретов приложения!