需要 Rails 的 HTTPS / SSL 速成课程

Question

我已经使用 HTTP 在 Heroku 上启动并运行了我们的 Ruby on Rails 应用程序。现在是时候在登录过程中以及用户登录后的所有事务中使用 HTTPS。但我不知道从哪里开始。

配置

我们正在使用：

Ruby (1.9.2)
Rails (3.0.5)
Devise (1.5.3)

我们的域（由 GoDaddy 注册）是 oursite.com（不是其真实名称），解析为 oursite.herokuapp.com。我希望在子域https://secure.oursite.com 中执行安全事务。我从 GoDaddy 购买了 SSL 证书，创建了密钥文件，注册了 Zerigo DNS 服务，并将 oursite.com 名称服务器设置为指向 Zergo 的服务器。在 Heroku 上，我已经完成了：

heroku domains:add secure.oursite.com
heroku ssl:add final.crt site.key
heroku addons:add ssl:hostname

问题

• 如果用户以http://oursite.com 访问我们的网站，我应该如何（以及何时）切换到https://secure.oursite.com？
• 如何强制使用 https 进行任何安全交易（例如提交密码）？
• 如何使用 localhost:3000 测试这些东西？

同样欢迎提供具体答案、一般答案以及指向教程和示例的指针。谢谢！

Answer 1

第一：

redirecting from http://example.com to https://example.mysite.com

... 是一个非常具体的问题，它取代了这个非常笼统的问题。我将总结我在过去 24 小时内找到的最佳信息，因为它可能对其他人有所帮助。

• 如果您在 Heroku 上进行部署，Heroku article on SSL 是必读的。
• Heroku 还有一篇描述how to purchase an SSL certificate from a general vendor 的文章以及一篇描述how to purchase an SSL certificate from GoDaddy 的文章。
• 我在尝试为我的 Zerigo DNS service 配置 CNAME 记录时被卡住了一段时间。妙语是，如果您使用 Heroku 仪表板创建 Zerigo 帐户，那么您还必须使用 Heroku 仪表板配置您的 CNAME 记录。 Gory details listed here。
• 如果您计划升级到 Rails 3.1，现在是这样做的好时机，因为它有一个内置的 force_ssl 方法，可以完全替代各种插件 gem（特别是 ssl_requirement )。
• 话虽如此，ssl_requirement 在https://github.com/rails/ssl_requirement/blob/master/lib/ssl_requirement.rb 中的实现值得一看，只是看看它如何使用redirect_to 和request 对象。
• Simone Carletti 有一个全面的博客条目 Configuring Rails 3 to use HTTPS and SSL，涵盖 Rails 3.0 和 Rails 3.1。

希望对您有所帮助...

Answer 2

我会看看 ssl_requirement。这允许您保护应用程序的各个部分，从而迫使您仅通过 HTTPS 提供某些页面。

https://github.com/rails/ssl_requirement

通过本地开发，您需要设置某种 Apache / NGinx 设置，并附上本地签名的证书。一个快速的谷歌发现了这一点：

http://www.subelsky.com/2007/11/testing-rails-ssl-requirements-on-your.html