Сredentials в версии Ruby on Rails 5.2.0 — новый золотой стандарт. Старые добрые, но небезопасные файлы .env уступают дорогу. В этой статье вы узнаете:
Еще 3 года назад Давид Хейнемейер Ханссон, создатель фреймворка Ruby on Rails, написал в своем твиттере о появлении релиза Rails 5.2.0, но новым технологиям часто требуется время, чтобы разогнаться и получить известность.
Можно считать тревожным звоночком, если вам слишком часто приходится жонглировать API-ключами, меняясь ими с другими разработчиками из вашей команды. Тогда самое время еще раз взглянуть на то, как можно использовать credentials в приложении на Ruby on Rails.
В цикле разработки, по мере развития в проект интегрируется всё больше различных сервисов. Для каждого внешнего сервиса существует собственный API-ключ. Обычно проходит совсем немного времени до момента, когда коллеги начнут охоту за за последним API-ключом. Это очень раздражает!
Или, просто представьте, API-ключ обновляется. Каждый разработчик в команде отдельно должен обновить ключ в локальных файлах dotenv. Кажется, всё это не соответствует концепции автоматизации и идеям программирования, верно?
Забудьте об обмене API-ключами в чатах в Slack или по электронной почте. Больше не придется нарушать политику безопасности.
Credentials в Rails решают эту проблему просто и эффективно: загрузка ключей на Github.
Загрузка на Github? Да, загрузка на Github! Небольшое примечание: API-ключи полностью зашифрованы.
Большое преимущество такого подхода в том, что существует один единственный ключ, которым можно поделиться с командой. И он никогда не меняется!
Новые API-ключи, добавленные вашими коллегами как credentials, подтягиваются из Github каждый раз, когда вы вытаскиваете последнюю версию ветки main (ранее носила название «ветка master»).
Ключ можно найти в папке config/master.key.
Запуск
Вместе с репозиторием отправляем наш файл
Откройте файл credentials, выполнив в терминале следующее:
В зависимости от используемого вами редактора, замените
vim or vi = Vim
atom = Atom
subl or stt = Sublime
Файл credentials автоматически открывается в редакторе и ждет, когда вы его обновите и снова закроете. Перенесите ключи ENV, которые вы используете в файле .env, в файл credentials.yml.
Замените старый файл
на
Примечание: Ключ Cloudinary API разделен на несколько частей, согласно документации.
Все готово! Для вывода на экран, credentials можно запустить в терминале.
Запустите
Пришло время прощаться с нашим старым другом — файлом .ENV. Удалим его.
Как использовать Credentials в различных форматах, таких как Ruby, YML и JavaScript
Ruby
YML
для Cloudinary необходим дополнительный файл config/cloudinary.yml
JavaScript
HTML
Поделитесь ключом в
Каждый член команды создает файл
Программирование становится всё более увлекательным занятием без суеты и необходимости искать правильные API-ключи. Благодаря credentials, мы можем обновить приложение с учетом рекомендаций по информационной безопасности. Поделитесь master key один раз и избавьтесь от утомительного копирования.
Спасибо за внимание!
- зачем и как перейти от secrets к credentials,
- как использовать API-ключи в Ruby, YML и js.erb,
- как раз и навсегда предоставить ключ каждому из команды.
Еще 3 года назад Давид Хейнемейер Ханссон, создатель фреймворка Ruby on Rails, написал в своем твиттере о появлении релиза Rails 5.2.0, но новым технологиям часто требуется время, чтобы разогнаться и получить известность.
Можно считать тревожным звоночком, если вам слишком часто приходится жонглировать API-ключами, меняясь ими с другими разработчиками из вашей команды. Тогда самое время еще раз взглянуть на то, как можно использовать credentials в приложении на Ruby on Rails.
Почему стоит использовать сredentials вместо secrets?
В цикле разработки, по мере развития в проект интегрируется всё больше различных сервисов. Для каждого внешнего сервиса существует собственный API-ключ. Обычно проходит совсем немного времени до момента, когда коллеги начнут охоту за за последним API-ключом. Это очень раздражает!
Или, просто представьте, API-ключ обновляется. Каждый разработчик в команде отдельно должен обновить ключ в локальных файлах dotenv. Кажется, всё это не соответствует концепции автоматизации и идеям программирования, верно?
Забудьте об обмене API-ключами в чатах в Slack или по электронной почте. Больше не придется нарушать политику безопасности.
Credentials в Rails решают эту проблему просто и эффективно: загрузка ключей на Github.
Загрузка на Github? Да, загрузка на Github! Небольшое примечание: API-ключи полностью зашифрованы.
Большое преимущество такого подхода в том, что существует один единственный ключ, которым можно поделиться с командой. И он никогда не меняется!
Новые API-ключи, добавленные вашими коллегами как credentials, подтягиваются из Github каждый раз, когда вы вытаскиваете последнюю версию ветки main (ранее носила название «ветка master»).
Ключ можно найти в папке config/master.key.
Как это работает?
Запуск
bin/rails credentials:edit в rails создает два файла, которые требуются в папке config:credentials.yml.encхранит все ваши API-ключи. Если вам вдруг любопытно, расширение .enc означает шифрование.master.key— это ключ, который используется для расшифровки encrypted.file (1.) Убедитесь, что вы добавили master.key в файл.gitignore.yml.
Вместе с репозиторием отправляем наш файл
Credentials.yml.enc на Github, теперь он в надежных руках. При этом master.key храним при себе и бережем так, как будто от этого зависит наша жизнь!Переход на credentials
Откройте файл credentials, выполнив в терминале следующее:
EDITOR='code --wait' bin/rails credentials:editВ зависимости от используемого вами редактора, замените
code (VS Code). Например:vim or vi = Vim
atom = Atom
subl or stt = Sublime
Файл credentials автоматически открывается в редакторе и ждет, когда вы его обновите и снова закроете. Перенесите ключи ENV, которые вы используете в файле .env, в файл credentials.yml.
Замените старый файл
.ENV:STRIPE_PUBLISHABLE_KEY=pk_test_VG8LlUN82DcZS3cAOJVy0WyIR9Jwz0YZkq302MKc00t
STRIPE_SECRET_KEY=sk_test_VG8LlUN82DcZS3cAOJVy0WyIR9Jwz0YZkq302MKc00tgAAYF
STRIPE_WEBHOOK_SECRET_KEY=whsec_cZpB0VG8cZpB0VG8cZpB0VG8UrgA2gcZpB0VG8cZpB
CLOUDINARY_URL=cloudinary://15031853100444:XOr3XQ-DcZ4dBoan80@DcZ4Boan800U
GOOGLE_API_KEY=S3cAOJVy0WyS3cAOJVy0WyIR9AOJVy0WyIR92eна
credentials.yml:stripe:
publishable_key: pk_test_VG8LlUN82DcZS3cAOJVy0WyIR9Jwz0YZkq302MKc00tgAAYF
secret_key: sk_test_VG8LlUN82DcZS3cAOJVy0WyIR9Jwz0YZkq302MKc00tgAAYF
web_hook_secret_key: whsec_cZpB0VG8cZpB0VG8cZpB0VG8UrgA2gcZpB0VG8cZpB
google_api_key: S3cAOJVy0WyS3cAOJVy0WyIR9AOJVy0WyIR92e
cloudinary:
cloud_name: abcdefg
api_key: 12345678910
api_secret: abc315-VG8Ll8VG8Ll8LПримечание: Ключ Cloudinary API разделен на несколько частей, согласно документации.
Все готово! Для вывода на экран, credentials можно запустить в терминале.
Запустите
bin/rails credentials:show.Пришло время прощаться с нашим старым другом — файлом .ENV. Удалим его.
Как использовать Credentials в различных форматах, таких как Ruby, YML и JavaScript
Ruby
# nested key
Rails.application.credentials.stripe[:publishable_key]
# single key
Rails.application.credentials.google_api_keyYML
cloudinary:
service: Cloudinary
api_key: <%= Rails.application.credentials.dig(:cloudinary, :api_key) %>
api_secret: <%= Rails.application.credentials.dig(:cloudinary, :api_secret) %>для Cloudinary необходим дополнительный файл config/cloudinary.yml
JavaScript
// ruby code only possible with js.erb format
const abc = "<%= Rails.application.credentials.google_api_key %>"HTML
<!-- interpolate in script tag -->
<script src="https://maps.googleapis.com/maps/api/js?key=<%= "#{Rails.application.credentials.google_api_key}"%>"</scriptКак поделиться ключами с командой
Поделитесь ключом в
master.key с другими разработчиками, чтобы разрешить дешифрование.Каждый член команды создает файл
master.key локально в папке config и передает его в общий ключ.Вывод
Программирование становится всё более увлекательным занятием без суеты и необходимости искать правильные API-ключи. Благодаря credentials, мы можем обновить приложение с учетом рекомендаций по информационной безопасности. Поделитесь master key один раз и избавьтесь от утомительного копирования.
Спасибо за внимание!
