问题标签 [secret-key]

我们将 TFS 用于我们的 Microsoft Azure 应用程序。在该应用程序中，我们有生产、暂存和本地环境。到目前为止，我是该项目中唯一的开发人员，因此我们在开发环境中的凭据安全性方面没有任何问题。

我们的目标是确保生产凭证的安全，并且其他开发人员无法接触到。在 Microsoft Azure 和 Team Foundation Server Online 上执行此操作的最佳做​​法是什么？

谢谢。

编辑：

我将这些秘密保存在 Azure 的“ServiceConfiguration”文件中：

是否可以将 ServiceConfiguration.Cloud.cscfg 文件专门提供给 TFS 中的少数人或组？也许这可以解决问题。因为生产环境的所有秘密。在里面。

我想了解 API Secret 和 Access Token Secret 的职责/区别。当我需要保护我的 API 时，我通常会要求用户先注册自己并获取 accessToken，然后使用它来进行 API 调用。

另外，如果您能让我了解我目前基于单一 accessToken 的方法有什么问题，以及为什么我应该更喜欢实现 API Key、API Key Secret、Access Token、Access Token Secret，这将非常有帮助。

谢谢！

使用 Rails 4.1.1，我创建了一个项目。启动并运行，现在我想与我的研究开发团队分享它。当然， .gitignore 会secrets.yml从源代码管理中隐藏文件，但是如果没有自己的secrets.yml文件版本，它们的版本将无法运行，会出现以下错误：

处理请求时出现意外错误：缺少secret_key_base“开发”环境，请在 `config/secrets.yml 中设置此值

• 我们需要共享秘密令牌吗？（因此只需将其复制并粘贴到他们的本地机器上）
• 它们应该是单独的随机键吗？（克隆 repo 的过程是什么？）

有谁知道这个错误是什么意思？我之前输入了同样的命令，它运行良好，但后来我破坏了控制器并设置了我的密钥。这就是我对我的应用所做的一切。之后，每次尝试创建新控制器时都会出现此错误。

在编写加密实用程序类时，我遇到了以下方法的问题：

javax.crypto.spec.SecretKeySpec在上述方法的特定情况下，java7因为SecretKeySpec (javadocs 7)没有实现Destroyable (javadocs 7)

现在，SecretKeySpec (javadocs 8)java8类已经被Destroyable (javadocs 8)和Destroyable#destroy方法现在可以根据这个声明default

默认方法使您能够向库的接口添加新功能，并确保与为这些接口的旧版本编写的代码的二进制兼容性。

然后代码编译没有任何问题，尽管类ScretKeySpec本身没有改变，只有接口SecretKey已经改变。

问题是oracle's jdk8该destroy方法中有以下实现：

这会导致运行时出现异常。

所以二进制兼容性可能没有被破坏，但现有的代码已经被破坏了。上面的测试通过java7但不通过java8

所以我的问题是：

• 通常如何处理可能导致异常的默认方法 - 因为未实现或不受支持 - 或运行时出现意外行为？除了做

  这仅对 java8 有效，并且在将来的版本中可能不正确，因为默认方法可能会获得有意义的实现。

• 将此默认方法保留为空而不是引发异常不是更好吗（IMO 具有误导性，因为除了合法调用销毁之外，没有尝试有效地销毁密钥，UnsupportedOperationException会更合适，你会立即知道发生了什么）

• 我的方法是（类型检查/转换/调用）

  用于判断是否销毁有误？什么是替代方案？

• 这是一种误解，还是他们只是忘记在其中添加有意义的实现ScretKeySpec？

您好，我构建了这 2 种方法，加密工作正常，但解密出错，因为密码需要一个字节，我想从字符串加密

我正在使用 Rails 4.1.1 和 ruby​​ 2.0.0

我目前已将我的 secrets.yml 文件忽略到我的 gitignore for github。

秘密.yml

如果这个生产密钥是动态的，它是从哪里读取的？我们在哪里提供这些信息？这些信息如何在不访问 github 的情况下到达 heroku？

我的 heroku 应用程序设置中已经有一个密钥环境变量。我认为它是在我使用 heroku_secrets gem https://github.com/alexpeattie/heroku_secrets运行 rake 评论时创建的rake heroku:secrets RAILS_ENV=production

有人可以解释概念步骤，以及如何在不向公众公开密钥的情况下正确使用 secrets.yml 的实际步骤吗？

例如，如果您还可以为不同的 API 添加另一个密钥，那也将不胜感激。

我想了解解释中的步骤中发生了什么，而不是像“做这个，做这个，做这个”之类的东西。另外，如果有代码，请指定它应该放在哪个文件中，而不是仅仅给出代码，并假设读者仅根据代码就知道它的去向（严厉地看 heroku 指南作者）

谢谢！=]

为确保 REST API 仅由已知消费者访问，客户端应用程序使用密钥对每个 HTTP 请求进行签名，然后将生成的签名与API 密钥一起发送到服务器。

在 JavaScript 客户端的情况下，API 密钥和秘密被硬编码在脚本本身中......那么这种机制如何确保发送请求的客户端确实是它应该是的客户端？我问是因为如果秘密在 JavaScript 中被硬编码，每个人都可以查看它，窃取秘密，并在其他应用程序中使用它。

有没有更安全的方式向消费者公开 API？我知道 Stackoverflow 中还有其他帖子涵盖了这个主题......但我不清楚如何处理消费者授权和用户授权。在我的例子中，消费者授权决定了第三方是否被允许访问我的 API 并且与业务逻辑无关，而用户授权是在应用程序级别（即在消费者被识别和授权之后）。

我需要有一个选项来存储通过 SSH 隧道通信的应用程序的身份验证密钥或密码。在不需要用户输入密钥的情况下，最安全的存储方式是什么。

我可以从用户的谷歌帐户获得一些独特和秘密的东西，用作存储偏好的加密密钥吗？这样，恶意方将需要访问用户的谷歌帐户和加密的偏好才能造成任何伤害。

我正在尝试访问我的本地主机，但我的浏览器中不断出现以下错误：

我环顾四周，人们说您必须获取密钥然后将其放入config/initializers/secret_token.rb，但我的secret_token.rb文件夹中没有文件。我正在运行 ruby​​ 版本ruby 2.1.2p9和 rails 版本Rails 4.0.8我正在关注教程railstutorial.org是否对 2.2 有帮助