Railsでは、以前に署名したデータを失うことなくsecret_key_baseを更新できますか？

Question

Rails 4.xでは、secret_key_baseは、セッションクッキーと、cookies.signedを呼び出して作成された署名付きクッキーに署名するために使用されます。

私は、このsecret_key_baseを更新/サイクル/ロールしたいと思いますが、以前に署名したすべてのクッキーへのアクセスを失うことはありません（セッションを失うことは気にしません）。これは可能ですか？

1. がsecret_key_base新しいを追加します。

   理想的には私のような何かをしたいと思います。

2. 古いキーと新しいキーの両方を使用して、古いキーを使用して署名されたクッキーを新しいキーで再署名できるようにします。
3. 古いsecret_key_baseを削除します。

secret_tokenからsecret_key_baseにアップグレードするための同様の機能があります。 Railsを使ってこれを達成する方法はありますか？

Answer 1

さまざまな方法で対処できます。 今すぐ古いsecret_keyを保存し、特定のユーザーにマッピングされたすべてのCookieデータを保存できる一時テーブルを作成します。これにもredisを使うことができます。すべての既存のCookieデータが受信されたことが確実であれば、secret_keyを変更できます。これにより、すべてのCookieデータが無効になります。クッキーが受信されるたびに、そのデータがユーザに存在するかどうかを最初に確認し、それに応じてクッキーを設定し、一時テーブル/ key_storeからエントリを削除します。一時テーブルが空になったら、あなたはあなたが最初にあなたの古いsecret_key_baseでクッキーを読み取ろうとするクッキーのミドルウェアでencryptedとsignedのようなメソッドの一部を上書きすることによって、これを達成することができます完全

Answer 2

メカニズムを削除することができます。それが成功すれば、新しいものにアップグレードすることができます。最終的にすべての古いクッキーは新しいものにアップグレードされ、カスタムパッチを削除することができます。メッセージの検証がここで働いているかもチェックアウト

https://github.com/rails/rails/blob/8350925bec434168f56b4fae22b5298cb4a83c41/actionpack/lib/action_dispatch/middleware/cookies.rb

を見てみましょう。

https://github.com/rails/rails/blob/8350925bec434168f56b4fae22b5298cb4a83c41/actionpack/lib/action_dispatch/middleware/cookies.rb#L251

お役に立てば幸いです。