2010-11-22 18 views
23

私はRailsで使われているsecret_tokenとはかなり混同されています。誰がそれが使用されているか説明することはできますか?このトークンをパブリックソースリポジトリに置いて、本番環境で使用することはできますか、またはいくつかの種類の攻撃を防ぐために私のアプリケーションをデプロイする前にそれを変更する必要がありますか?Railsの秘密のトークン

答えて

31

自分の質問に答えます - secret_tokenは、RailsでのCookie改ざんを防ぐために使用されます。すべてのCookieにはチェックサムが保存されているため、ユーザーはCookieの内容を変更しません(たとえば、保存されたユーザーIDを変更して他のユーザーのアカウントを盗むなど)。チェックサムはCookieの内容とsecret_tokenに基づいているので、Cookieベースのセッションを使用している場合、secret_tokenが本当に秘密であることを常に確認する必要があります。