4

Ruby 2.0 で実行されている Ruby on Rails アプリ (v4.0.1 ですが、ここでは関係ないと思います) を使用しており、ユーザーがサード パーティのサービスに OAuth でアクセスしてデータにアクセスできるようにしています。

アプリケーションのコンシューマ キーとコンシューマ シークレットを、ソース管理の外部にある環境変数に保存しました。

OAuth / OAuth2 ダンスの最後のコールバックの後、各ユーザーの情報にアクセスするために使用できるトークンがあります。

ログイン資格情報については、一方向ハッシュを使用してパスワードをデータベースにプレーンテキストで保存しないようにしているため、トークンで同様のことを行う必要があると考えていますが、それらのトークンを使用してデータにアクセスする必要があるため、平文を再現できるようにする必要があるため、対称暗号化を行う最善の方法を見つけようとしています。

暗号化キーを環境変数として保存し、https://gist.github.com/nono/2995118のようなものを使用してトークンを暗号化することを計画しています。これは安全ですか?

人々はこのhttps://github.com/reidmorrison/symmetric-encryption gem を使用しましたか?

私は車輪を再発明しなければならないのを防ごうとしています。任意のヒント?

4

2 に答える 2