问题标签 [app-secret]

I'm expecting to save a lot of documents of considerable size, from 1M to potentially multiple orders of magnitude larger. I know Hashicorp's Vault is great for secret keys and smaller values. I would love to get the "glass break" functionality and the key rolling functionality from it.

Has anyone done any benchmarking of Vault with large secrets? I'm presuming I'm not going to have trouble with the number of secrets in the vault?

我正在尝试从 facebook 页面获取最新的 facebook 帖子。我正在使用facebook php SDK v4 ( https://github.com/facebook/facebook-php-sdk-v4/ )。

我已将库（php sdk）添加到 composer: composer require facebook/php-sdk-v4。我的 appid / app secret 和 page id 是正确的。

问题是我收到错误Call to undefined method Facebook\Facebook::api()。当我在网上搜索其他主题时，他们经常使用这个。但是我做错了什么？

我正在寻找一种将 iOS Secret 应用程序中的文本动画行为复制到 Android 的方法。效果在以下问题中描述：

如何制作一个秘密的 iOS 应用文本动画

您还可以在这里看到它为 iOS 实现的：

https://github.com/rcmcastro/RQShineLabel

有人熟悉 Android 框架的类似库吗？或者知道如何在 Android 中实现相同的效果？

关于如何在 SO 和网络上管理 API 令牌存在一些问题，但我看到很多人只是重复他们在其他地方阅读的内容，而且他们通常没有多大意义......

我想知道你们是如何处理所有这些 API 令牌等的。

这是我到目前为止使用 3 种不同的宝石所阅读的内容

秘密.yml

Rails 4.1 引入，应该成为存储秘密的约定

是（显然不是？）意味着被推送到存储库。但是我经常看到使用环境变量进行生产的示例

在这一点上，有人问“我们为什么要使用 ENV 进行生产？”，这是 IMO 的一个合法问题。但是后来有人回答“我们不希望在应用程序中对生产令牌进行硬编码”（也许只是我，但是哼SECRETS .yml，这个名字听起来像是你不想提交的某个文件对吗？），并且最后没有人真正回答这个问题

但我仍然设法找到这个和那个：

优点：

• 导轨约定。
• capistrano-secrets使用gem轻松部署和cap [stage] setup（它只部署阶段秘密很好）
• YML 数据结构 (array/hash ok) + 可以使用 Ruby 代码

缺点：

• 需要使用Rails.application.secrets.xxx
• 许多像 AWS 这样的服务仍然从 ENV 中读取数据来自动设置它们的 gems/services
• 不是12个因素的方式（或者是吗？）
• 很新，还没有真正使用过？

Bkeepers dotenv

只需在 Rails 启动时读取的根目录下定义一个 .env 文件

使用capistrano-env和capistrano

专业人士

• ENV 在 12factor 规则中
• 3.5k 颗星……也许不是白费？

缺点

• 没有自定义代码，仅限于字符串字符串键/值

费加罗

某种混合机密/ENV。考虑到 12factors/Rails/Heroku，但最终似乎并不比其他的更好......

从上面和我没有写的其余部分来看，如果将这些秘密放在 ENV 中，secrets.yml 似乎会是一个很好的赢家（而且我Rails.Application.secrets每次都懒得写）。

所以，假设我启动了一个全新的 Rails 应用程序，并且也是基于您的经验。你会选哪一个 ？

（我的特定堆栈使用 AWS + Capistrano，没有 Heroku）

我碰巧正在查看 DiscoverWestsworld.com网站的代码，并注意到我以前从未在 .

有谁知道这是干什么用的？

将机密文件（包含密码、API 密钥等的任何内容）从您的 git 存储库中检出是一种很好的做法，这似乎是常识（这里的指示，这里，这里，这里还有更多）

为什么？

我想为我的集成测试存储一个数据库连接字符串作为用户密码。我的 project.json 看起来像这样：

我已将以下内容添加到我的测试类的构造函数中：

但是，当我运行测试时，当它到达该行时会引发以下异常：

我是否错过了某些东西或者我试图不支持的东西？

我的 Rails 应用程序使用 OAuth 身份验证。对于生产凭证，我使用 dotenv gem。配置/secrets.yml：

为了进行测试，我使用了专门注册的 Facebook 应用程序，该应用程序具有“redirect_uri”到http://localhost。

我应该对“开发”部分使用相同的方法，还是可以编写注册用于测试的应用程序的信誉？我如何理解没有人可以使用它（用于钓鱼网站），因为在应用程序的设置中有指向“localhost”的“redirect_uri”。

当我们谈论保护 iOS 应用程序时，我们经常忘记保护最关键的敏感信息，例如秘密、密钥、令牌、加密密钥。此信息存储在 iOS 二进制文件中。因此，您的服务器端安全协议都不会为您提供帮助。

有很多建议我们不应该将此类信息存储在应用程序中，而是存储在服务器中并通过 SSL 安全 Web 服务调用获取。但这并非适用于所有应用程序。例如，如果我的应用程序根本不需要 Web 服务。

在 iOS 应用程序中，我们有以下选项来存储信息。

1. UserDefault：不适合这种情况
2. 字符串常量：不适合这种情况。可以是逆向工程来检索或只使用字符串命令
3. 安全数据库：存储在安全和加密的数据库中。但同样有责任保护数据库用户名和密码。
4. KeyChain：最好存储关键信息。但我们无法在安装应用程序之前保存信息。要存储在钥匙串中，我们首先需要打开应用程序，从某个源读取并存储在钥匙串中。也不适合我们的情况。
5. 自定义哈希字符串常量：不直接使用来自服务提供商（mixpanel、paypal）的秘密、令牌、密钥，而是使用自定义密钥中该信息的哈希版本。这也不是完美的解决方案。但是在黑客攻击过程中增加了复杂性。

请发送一些很棒的解决方案来解决这个问题。

我想知道是否有任何策略来管理移动设备中的秘密到期。

在授权服务器允许移动客户端使用资源所有者密码流结合客户端凭据对他进行授权的情况下，客户端机密具有到期时间。

我已经看到至少有一些方法可以在 Android 应用程序上安全地存储机密，但是，您如何在不发布新版本的应用程序的情况下管理机密过期？