Tag: 秘密密钥

在rails 4中使用secret_key_base有什么用: 我是Rails 4的新手，并不明白在Rails 4中config/secrets.yml secret_key_base下的secret_key_base的用法。你能解释一下这个概念吗？另外，当我在生产环境中工作时，系统会提示secret_key使用devise.rb ， config.secret_key和secret_key_base 。但是，我可以使用rake secret命令生成一个新的机密。开发和生产环境有什么区别？当我每次生成secret_key时，它是如何与新生成的secret_key匹配的？它如何保护与其他服务器的应用程序？

服务器端处理JWT令牌的最佳实践: （从这个线程产生，因为这是一个真正的问题，而不是特定于NodeJS等）我正在使用身份validation来实现REST API服务器，并且我已经成功实现了JWT令牌处理，以便用户可以通过带有用户名/密码的/ login端点进行login，然后从服务器密钥生成JWT令牌并返回给客户。然后令牌在每个经过validation的API请求中从客户端传递到服务器，服务器密钥用于validation令牌。但是，我正在试图了解确切地说明如何以及在多大程度上validation令牌的最佳实践，以build立真正安全的系统。究竟应该参与“validation”令牌？使用服务器密钥validation签名是否足够，还是应该交叉检查服务器中存储的某些数据的令牌和/或令牌载荷？基于令牌的authentication系统只会像每个请求中传递用户名/密码一样安全，只要获取令牌的难度要高于获取用户的密码。但是，在我看到的例子中，生成令牌所需的唯一信息是用户名和服务器端的秘密。这是否意味着假设一个恶意用户获得了有关服务器机密的知识，他现在可以代表任何用户生成令牌，从而不仅可以访问给定用户，而且密码是获得，但实际上所有的用户帐户？这带来了我的问题： 1）JWT令牌validation是否应限于validation令牌本身的签名，仅依赖服务器秘密的完整性，还是附带单独的validation机制？在某些情况下，我已经看到了令牌和服务器会话的组合使用，在通过/ login端点成功login后，会话被build立。 API请求validation令牌，并将令牌中发现的解码数据与会话中存储的一些数据进行比较。但是，使用会话意味着使用cookie，从某种意义上讲，它违背了使用基于令牌的方法的目的。这也可能会导致某些客户的问题。可以想象，服务器将所有令牌当前正在使用的内存caching或类似内容保留下来，以确保即使服务器秘密受到攻击，攻击者可以生成“有效”令牌，但只能通过/ login端点生成的确切令牌会被接受。这是合理的还是多余的/矫枉过正的？ 2）如果JWT签名validation是validation令牌的唯一手段，意味着服务器秘密的完整性是突破点，那么应该如何pipe理服务器机密？从环境variables中读取并在每个已部署的堆栈上创build（随机化？）一次？重新定制或定期轮换（如果是的话，如何处理在循环之前创build的现有有效令牌，但需要在循环后进行validation，如果服务器在任何给定的时间保持当前秘密和先前的秘密，？别的东西？当涉及到服务器机密被泄密的风险时，也许我只是过于偏执狂，这当然是一个更加普遍的问题，需要在所有密码的情况下解决。