Rubygem 项目敏感数据的管理

既然要说 Ruby 那肯定是离不开 Rails 的,毕竟

Ruby 只是 Ruby on Rails 的一套框架,才不是什么程序语言呢!

话不多说先新建一个 Rails 项目:

$ rails new app --B

默认情况下,Rails 提供了三个环境:development,test 和 production,其定义是在 app/config/environments 目录下,以后的配置都是要考虑这三个环境的(手动修改过相关配置的可能不一定是三个)。重点要说的是 app/config/secrets.yml 这个文件

# app/config/secrets.yml

development:
  secret_key_base: 5734127d4e3ebf07d9d7af9aed02b869448faf4afefc7bb7abbfdb9979ed92546ee84edbc37e0e50b5469c0d43923faf2d2d9e46d5f5f0d1d997f47b656dbd45

test:
  secret_key_base: 35469501039e3c1abc7f4b76d8184df2c6ed0491a6b4f522be84ae5c52d4cf7e5ef31e50f5f063794d076d25e78ce76e8533e72ea20171193c59de861e861b1a

# Do not keep production secrets in the repository,
# instead read values from the environment.
production:
  secret_key_base: <%= ENV["SECRET_KEY_BASE"] %>

其中 production 的值是 <%= ENV["SECRET_KEY_BASE"] %> (至于为什么 yaml 文件中可以使用ERB,可以点这个链接查看原因下面也会提到一点具体代码),那么问题就来了,这个 ENV 到底是个啥子东东呢?

ruby-doc 上是这么解释的:

ENV is a hash-like accessor for environment variables.

由此可知,生产环境下的这个 secret_key_base 是一个很 隐私? 私密?机密? 敏感?的数据,不能让其出现在代码仓库之中,而要将其放在环境变量 ENV 中(很多非 Rails 项目,更准确的讲是 Rubygem 项目都没有注意到这个,就我个人而言,即使是测试环境下的外部测试帐号信息也是敏感数据)。具体做法 Railscast 上也有一节是专门讲这个的(不过好像是 revised 的)。

那么,在 Ruby 项目中这又是如何实现的呢?

显然,纯 Ruby 项目没有 Rails 考虑的那么周到,从 Rails 到 Ruby 其感觉就像是一夜回到解放前,不过自从有 bundle 工具之后,起码可以说回到解放后了。

下面以 JPush API Ruby Client (这是一个 gem 包,即为 Ruby SDK,为方便起见,下文统一称为 SDK)为例来说道说道。

首先细化一下这个 SDK 的使用场景:有一个使用 Rails 作为后台的项目,现在需要使用极光推送为手机客户端提供消息推送服务,那么在服务端就需要集成 JPush 的 Ruby SDK。首先要安装这个 gem,得益于 bundle 工具,只需要在 Gemfile 里面添加相应的配置即可:

# Gemfile
gem 'jpush'

然后运行

$ bundle install

DONE!

JPush SDK 便已经成功安装到 app 项目中。

在 Rails 项目中有三个环境,对于不同的环境可能需要给 SDK 不同的帐号信息。比如微信就存在微信公众平台接口测试帐号一说,不过很多其他的服务(包括极光推送)并不存在测试帐号一说。不论如何去做,可以确定的是,处于生产环境中的 SDK 的敏感信息可以交由 Rails (即 使用这个 SDK 的项目本身)来管理,并不需要 SDK 来做,但是在 SDK 开发测试过程中的敏感信息就要 SDK 自己来管理了。

根据以上的结论,在 SDK 项目的代码里面应该有一个下面这样的类

module JPush
 class Client
    def initialize(app_key, master_secret)
      xxx
    end
  end
end

来管理账户信息,这个类的实例化,留给使用这个 SDK 的开发者在自己的项目中去做。

在单元测试中,需要在 test_helper.rb 中实例化这个 Client 类,但是帐号信息哪里来,这是个问题。在这里有几种方案(偷师 Rails):

  • 设置系统级环境变量,然后从 ENV 中读取
  • 将需要的变量写入一个 yaml 文件,在初始化测试的时候写进 ENV 中,再读取

等等,既然可以写进 yaml 文件中,Ruby 本身又能方便的处理 yaml,那为什么还要写进 ENV 里面呢。

所以结论是新建一个 config.yml 将需要填写的信息模板写进去,比如:

# test/config.yml.example
app_key: APP_KEY
master_secret: MASTER_SECRET
tags:
  tag0: TAG_0
  tag1: TAG_1

然后在 test_helper.rb 中处理

# test/test_helper.rb
# symbolize_keys 是在其他地方实现的解析嵌套 Hash 的方法

cnf =
  if File.exists? cnf_file = File.expand_path('../config.yml', __FILE__)
    require "yaml"
    YAML.load_file(cnf_file).symbolize_keys
  else
    raise 'No Config File Found!!'
  end

app_key = cnf[:app_key]
master_secret = cnf[:master_secret]

@@client = JPush::Client.new(app_key, master_secret)

当然这里省略了一些细节。需要把 config.yml 加入到 .gitignore 中,在项目中只能有一个 config.yml.example 文件,这样的话,参与开发的流程就应该是

  • fork 项目
  • $ cp test/config.yml.example test/config.yml
  • 编辑 test/config.yml ,填写所需的信息
  • $ bundle exec rake test

然而,持续集成那边 Travis CI build 出错,原因也很清楚,可以写脚本让其复制 config.yml 但是无法做到填写数据。各种数据都是 example 的数据,没有任何意义,好在 Travis 可以为其设置环境变量,这样的话,只要稍微改一改就可以完成。因此上面说的那句话

Ruby 本身又能方便的处理 yaml,那为什么还要写进 ENV 里面呢

我收回。

# test/config.yml
app_key: <%= APP_KEY %>
master_secret: <%= MASTER_SECRET %>
tags:
  tag0: <%= TAG_0 %>
  tag1: <%= TAG_1 %>
# test/test_helper.rb
# symbolize_keys 是在其他地方实现的解析嵌套 Hash 的方法

cnf =
  if File.exists? cnf_file = File.expand_path('../config.yml', __FILE__)
    require "yaml"
    require "erb"
    template = File.read(cnf_file)
    erb_result = ERB.new(template).result
    YAML.load(erb_result).symbolize_keys
  else
    raise 'No Config File Found!!'
  end

这样的话,开发流程其实并没有怎么变,只不过多了一个选择,可以选择编辑 test/config.yml 或者设置相应的环境变量,关于 Tiavis CI 的话,只需添加相应的环境变量,便能顺利的构建。

OVER

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 198,030评论 5 464
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 83,198评论 2 375
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 144,995评论 0 327
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 52,973评论 1 268
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 61,869评论 5 359
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 46,766评论 1 275
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 36,967评论 3 388
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 35,599评论 0 254
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 39,886评论 1 293
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 34,901评论 2 314
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 36,728评论 1 328
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 32,504评论 3 316
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 37,967评论 3 302
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,128评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 30,445评论 1 255
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 42,018评论 2 343
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 41,224评论 2 339

推荐阅读更多精彩内容