Was ist der eigentliche Gebrauch von Secret Key?

Question

Ich spiele Dokumentation des Frameworks ich dies über "geheimen Schlüssel" gefunden

Play verwendet einen geheimen Schlüssel für eine Reihe von Dingen, einschließlich:

* Signing Session-Cookies und CSRF-Token

* Eingebaute Verschlüsselungsprogramme

Ich kann verstehen, warum sie geheimen Schlüssel für diese Dinge verwenden. Aber ich kann nicht verstehen, warum ich so etwas zuweisen muss. Warum benutzen sie nicht eine Zufallszahl oder etwas ähnliches, um die Aufgabe zu erledigen? (Wenn ich den Befehl playGenerateSecret in der Spielekonsole verwende, glaube ich, dass sie mir einen zufällig generierten Schlüssel geben)
Nachdem ich meine Anwendung mit einem geheimen Schlüssel implementiert habe, brauche ich ihn jemals wieder zu benutzen?

Answer 1

Der Grund, dass sie kein Geheimnis erzeugen, ist, weil es den Zweck besiegen würde. Wenn Sie z. B. Ihre Anwendung mit Ansible bereitstellen, können Sie Ihren geheimen Schlüssel in einer Datei speichern, die mit einem Tresor verschlüsselt wurde, und dann eine Umgebungsvariable für die Dauer der Ansible-Wiedergabe festlegen, die den verschlüsselten geheimen Schlüssel liest. Dann sollte das Ansible-Spiel das Artefakt lokal erstellen und es auf den Remote-Server hochladen. Auf diese Weise verfügt der Server, auf dem Sie bereitstellen, über keinerlei Kenntnisse über das Anwendungsgeheimnis!