Tôi khá bối rối về secret_token được sử dụng trong Rails. Bất cứ ai có thể giải thích những gì nó được sử dụng cho? Có thể đặt mã thông báo này vào kho lưu trữ nguồn công cộng và sử dụng nó trong sản xuất hay không, tôi nên thay đổi nó trước khi triển khai ứng dụng của mình để ngăn chặn một số loại tấn công?Mã thông báo bí mật Rails
23
A
Trả lời
31
Trả lời câu hỏi của riêng tôi - secret_token được sử dụng để ngăn chặn cookie giả mạo trong Rails. Mỗi cookie có một tổng kiểm được lưu với nó, vì vậy người dùng sẽ không sửa đổi nội dung cookie (và thay đổi id người dùng đã lưu để ăn cắp tài khoản của ai đó, ví dụ). Tổng kiểm tra dựa trên nội dung cookie và secret_token, vì vậy nếu bạn đang sử dụng các phiên dựa trên cookie, bạn nên luôn đảm bảo secret_token của mình thực sự bí mật, nếu không bạn không thể tin tưởng bất kỳ thứ gì bạn đưa vào phiên không đổi.
Các vấn đề liên quan
- 1. Làm cách nào để giữ bí mật mã thông báo truy cập của OAuth?
- 2. OAuth: Lưu trữ mã thông báo truy cập và bí mật
- 3. Mã thông báo bảo mật WIF Caching
- 4. Cách nhận Mã truy cập và Mã thông báo truy cập Bí mật từ Magento 1.7 REST API
- 5. Tạo mã bí mật để đặt lại mật khẩu
- 6. OAuth 2.0 Tạo mã thông báo và mã thông báo riêng
- 7. Thông báo ngoại lệ bí mật HSQLDB: "tính năng không được hỗ trợ"
- 8. Bảo mật xác thực dựa trên mã thông báo
- 9. Xác thực bảo mật mùa xuân qua mã thông báo
- 10. Bảo mật mùa xuân 3.2 Xác thực mã thông báo
- 11. Cách nhận mã thông báo truy cập Facebook cho một trang không có ứng dụng hoặc bí mật ứng dụng
- 12. Plugin Thông báo Rails?
- 13. Plugin Rails cho Khóa API + Ký tên khóa bí mật
- 14. Tạo mã thông báo CSRF
- 15. kim tự tháp AuthTktAuthenticationThông số bí mật của thông số
- 16. Rails Tính xác thực mã thông báo CSRF và Devise
- 17. Zend Framework Twitter OAuth + Mã thông báo
- 18. Cảnh báo bảo mật Ruby/Rails
- 19. Sự khác nhau giữa mã thông báo bảo mật và vé bảo mật là gì?
- 20. trình duyệt dựa trên mã hóa/giải mã với khóa bí mật từ keystore trình duyệt
- 21. Giữ mật khẩu trong sổ đăng ký là "bí mật"
- 22. Tạo xác thực mã hóa an toàn mã thông báo
- 23. Cách tốt nhất để đọc bí mật phiên Rails là gì?
- 24. Cách nhận thông tin từ mã thông báo bảo mật với C#
- 25. Lưu trữ bảo mật Mã định danh OpenID và mã thông báo OAuth
- 26. Làm cách nào để mã hóa mã thông báo bảo mật JWT?
- 27. Xác thực nhà phát hành mã thông báo bảo mật được mã hóa bằng Mã hóa web JSON (JWE)?
- 28. WCF: Dịch vụ xác thực hoặc bảo mật dựa trên mã thông báo?
- 29. Tại sao OAuth cung cấp cả mã thông báo truy cập và mã thông báo truy cập? Tại sao không chỉ là một giá trị duy nhất?
- 30. Danh sách bí danh Loại mã thông báo ủy quyền Android cho API Google ở đâu?