问题标签 [secret-key]

我正在尝试使用以下代码生成 1500 身份验证代码：

它在数据库中生成并插入了 1024 个代码，并在 15 秒内在浏览器中打印了 667 个代码，并且浏览器继续加载而不插入/打印更多代码，直到半小时后我关闭浏览器窗口。之后，当从 WAMP 在浏览器中打开任何网页时，它显示为浏览器正在加载并且不显示内容。也就是说，在打开任何网页之前，我需要在运行此脚本后重新启动 WAMP。我已经试过很多次了。

为什么脚本不生成 1500 个代码并且在达到计数 667/1024 时总是停止？

更新

作为实验，我在 IF 条件中添加了一个 ELSE 子句，并编写了代码以在 ELSE 子句中打印“代码已存在”。并使用同一张表的空（截断）副本运行脚本，然后打印并插入 1024 个代码，然后连续打印“代码已存在”（5 分钟内约有 700 000 多个条目并继续）。再次使用只有 1024 行的表运行脚本时，它甚至不会打印或插入单个代码。相反，它无限地继续打印“代码已经存在”。我观察到的另一件事是，WHILE 循环的第一个 1024 次迭代通过了 IF 条件（如果表为空）。并且所有后续迭代都失败了 IF 条件。

我已经安装了Redmine。不是第一次，但是机器有些不同——我对 Ruby 了解不多。

当我调用 Redmine 页面时，我在浏览器中收到错误消息：

内部错误

您尝试访问的页面出现错误。如果您仍然遇到问题，请联系您的 Redmine 管理员寻求帮助。

如果您是 Redmine 管理员，请检查您的日志文件以获取有关错误的详细信息。

日志中是这样的：

但该文件secret_token.rb存在。我用

此文件与其他文件具有相同的所有者和相同的访问权限。所以我想这不是问题的原因。

会是什么呢？

我正在使用 Chrome（打包）应用程序开发 POS 客户端。它将在已安装的计算机上本地运行，并通过 Web 服务与服务器交互。此应用程序应仅在商店的特定计算机上运行。

我知道我可以去每个商店安装 .crx 文件，在这种情况下我不必将应用程序发布到 Chrome 网上应用店。但是，我希望将它发布到 Chrome 网上应用店，以便我可以利用它的自动更新功能。

我应该怎么做才能确保应用程序只能在商店的计算机上运行？（我可以去商店并在第一次安装时设置任何需要的东西）。

我想到的选项：

1. 创建一些密钥并在第一次运行时将其输入到应用程序中。
2. 构建一个小工具（winforms 应用程序）来生成基于时间的令牌并将其安装在计算机上。每次打开应用程序时，工作人员都需要输入令牌。

任何更好的想法如何做到这一点？

it is the first time I ask for something so sorry if I'm not enough precise!

I tried to upload my rails app on heroku using enabling the user-env-compile to manage my secret keys but I have an error "No such feature: user-env-compile".

I checked on Heroku devcenter and seems that user-env-compile has been deprecated and replaced by the ENV_DIR argument.

Here the link: https://devcenter.heroku.com/articles/labs-user-env-compile

I cant really get what to do! can someone explain better to me what I'm supposed to do?

thank you,

Federico

我的应用程序 (ASP.NET MVC) 中有几个操作不打算由浏览器客户端调用，而是从我的财产的其他外部应用程序调用，例如 Azure 调度程序和我的移动应用程序 (Android)

要使这些操作按预期工作，必须传递一个秘密参数和值。

我的调度程序每 30 分钟调用一次上述操作，并发送预定消息。

其他示例：

上述操作由我的 android 应用程序调用。
它获取未读消息。

在这些外部应用程序中，我总是使用 HTTPS，所以我确信硬编码的密码（以及 URL 本身）是保密的。

我不喜欢我在这里所做的。它给我一种不好的感觉。

举几个这种方法的问题：

• 硬编码的秘密是一个长期的秘密。
• 如果其他开发人员在这些外部应用程序上工作，他们将知道秘密 URL
• 我不喜欢只知道 URL 就可以调用这些操作。我想要一些比隐藏 URL 更可靠的东西。

最后的问题是：
达到这个目的最正确的方法是什么？

例如，如果开发人员在 WhatsApp 工作，然后他就被解雇了。他可以根据从 WhatsApp 客户端应用程序中获得的知识调用 WhatsApp 服务器的操作吗？

I have a Parse account that I'm using to store user data for my Android application. Because I'm using source control, I don't want to leave my secret key embedded in the code. Is there a way to have a "config" file that I would keep out of source control, that can then host the key? If that's not feasible, what are the best practices of handling such a situation?

我想生成一个 40 字节的随机密码

k 的推荐值是多少，所以密码足够强？

我添加了 Devise gem，然后按照说明运行rails generate devise:install，结果如下：

如何“重新启动”我的应用程序？以及如何以及在哪里设置密钥？

有人知道如何在production.rb使用 new时设置 ENV 变量secrets.yml吗？

我得到key: wrong number of arguments (0 for 1)以下内容：

生产.rb：

秘密.yml：

我知道这可能是一个古老的问题，但是......是否有任何最佳实践来保护客户端机密以在 AngularJS 应用程序中执行 OAuth2 身份验证？我一直在绞尽脑汁想出一种解决方案，从现代风格的 Web 应用程序中提供对 API 的真正安全访问（它们不一定是 AngularJS。）根据我的经验，添加抽象层和混淆层确实不行任何可以提高安全性的东西……它们只会让任何潜在的黑客更难以破解安全蛋（但是他们中的许多人更喜欢一个好的挑战，所以你真正要做的只是让黑客更有趣。）

除了明显无效的解决方案（例如代码的混淆和卷积等）之外，在现代 Web 应用程序中是否有保护客户端机密的最佳实践？我知道这些问题是由桌面客户端应用程序引起的，而且我不相信除了“最好混淆，这会减慢黑客的速度”之外，还有其他解决方案。我们与网络应用程序在同一条船上吗？这个问题没有真正的解决方案吗？

如果没有解决方案……使用 OAuth 保护 REST API 真的有任何意义吗？