問題タブ [secret-key]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
azure - Microsoft Azure と Team Foundation Server で運用資格情報/シークレットを安全に保つ
Microsoft Azure アプリケーションに TFS を使用しています。そのアプリケーションには、本番環境、ステージング環境、およびローカル環境があります。これまで、プロジェクトの開発者は私だけだったので、開発環境での資格情報のセキュリティに問題はありませんでした。
私たちの目標は、本番の資格情報を安全に保ち、他の開発者の手の届かないところに置くことです。Microsoft Azure と Team Foundation Server Online でこれを行うためのベスト プラクティスは何ですか?
ありがとう。
編集:
その秘密を Azure の "ServiceConfiguration" ファイルに保存しています。
TFS で ServiceConfiguration.Cloud.cscfg ファイルを少数の人またはグループだけが利用できるようにすることは可能ですか? 多分それは問題を解決することができます。生産環境のすべての秘密のため。その中にいます。
twitter - Twitter で API キー シークレットとアクセス トークン シークレットが必要なのはなぜですか?
API シークレットとアクセス トークン シークレットの責任/違いを理解したい。API を保護する必要があるときは、通常、まずユーザーに登録して accessToken を取得し、それを使用して API 呼び出しを行うように依頼します。
また、単一の accessToken に基づいた現在のアプローチの問題点と、API キー、API キー シークレット、アクセス トークン、アクセス トークン シークレットを実装することを好む理由を理解していただければ、非常に役立ちます。
ありがとう!
ruby-on-rails - クローン作成時の secrets.yml、新しい secrets.yml ファイルの作成方法
Rails 4.1.1 を使用して、プロジェクトを作成しました。それを立ち上げて実行したので、私の研究開発チームと共有したいと思います。もちろん、.gitignore はsecrets.ymlファイルをソース管理から隠しますが、それらのバージョンは独自のバージョンのsecrets.ymlファイルなしでは実行されず、次のエラーが発生します。
リクエストの処理中に予期しないエラーが発生しました:
secret_key_base「開発」環境では見つかりません。この値を「config/secrets.yml」に設定してください
- 秘密のトークンを共有する必要がありますか? (したがって、ローカル マシンにコピー アンド ペーストするだけです)
- それらは別々のランダムキーにする必要がありますか? (レポをクローンするときのプロセスは何ですか?)
ruby-on-rails - 「Rails 生成コントローラー」エラー
このエラーの意味を知っている人はいますか? 以前にこの同じコマンドを入力したところ、完全に機能しましたが、コントローラーを破棄して秘密鍵を設定しました。アプリに対して行ったのはこれだけです。その後、新しいコントローラーを作成しようとするたびにこのエラーが発生します。
java - このメソッドで Cipher を使用して文字列を復号化する方法は?
こんにちは、この2つのメソッドを構築します暗号化は正常に機能しますが、暗号化がバイトを必要とし、文字列から暗号化したいため、復号化でエラーが発生します
ruby-on-rails - Heroku へのデプロイ時に公開リポジトリにキーを公開せずに Rails secrets.yml を使用するための段階的な説明
Rails 4.1.1 と Ruby 2.0.0 を使用しています
現在、github の gitignore に対して secrets.yml ファイルを無視しています。
secrets.yml
この製品キーが動的である場合、どこから読み取られますか? その情報はどこで提供されますか? その情報は、github にアクセスせずに heroku にどのように到達しますか?
heroku アプリの設定に、既に秘密鍵環境変数があります。heroku_secrets gem https://github.com/alexpeattie/heroku_secretsを使ってレーキコメントを実行したときに作成されたと思いますrake heroku:secrets RAILS_ENV=production
秘密鍵を公開せずに secrets.yml を適切に利用する方法の概念的な手順と実際の手順を誰かが説明できますか?
たとえば、別の API に別の秘密鍵を追加することもできれば、それも大歓迎です。
「こうしろ、こうしろ、こうしろ」というよりも、説明の段階で何が起きているのかを理解したい。また、コードがある場合は、単にコードを与えるのではなく、どのファイルに配置するかを指定してください。読者はコードだけに基づいてどこに行くかを知っていると仮定します(herokuガイドライターを厳しく見てください)
ありがとう!=]
api - 既知のコンシューマーのみが REST API にアクセスできるようにする方法
既知のコンシューマーのみが REST API にアクセスできるようにするために、クライアント アプリケーションは、シークレットを使用して各 HTTP リクエストに署名し、結果の署名をAPI キーと共にサーバーに送信します。
JavaScript クライアントの場合、API キーとシークレットはスクリプト自体にハードコーディングされています...では、このメカニズムは、リクエストを送信するクライアントが実際に本来あるべきクライアントであることをどのように保証するのでしょうか? シークレットが JavaScript にハードコードされていると、誰もがそれを見て、シークレットを盗み、他のアプリケーションで使用できるため、私が質問しています。
API を消費者に公開するより安全な方法はありますか? このトピックをカバーする Stackoverflow に他の投稿があることは知っています...しかし、消費者認証とユーザー認証の両方を処理する方法がわかりません。私の場合、コンシューマー認証はサード パーティが API にアクセスできるかどうかを決定し、ビジネス ロジックとは何の関係もありませんが、ユーザー認証はアプリケーション レベルで行われます (つまり、コンシューマーが識別および認証された後)。