如何解决错误“在“生产”环境中缺少“ secret_key_base””（Rails 4.1）

我从头开始使用Rails 4.1创建了一个Rails应用程序，但遇到了一个我无法解决的奇怪问题。

每次尝试在Heroku上部署应用程序时，都会出现错误500：

Missing `secret_key_base` for 'production' environment, set this value in `config/secrets.yml`

该secret.yml文件包含以下配置：

secret_key_base: <%= ENV["SECRET_KEY_BASE"] %>

在Heroku上，我使用命令SECRET_KEY_BASE的结果配置了“ ”环境变量rake secret。如果启动heroku config，我可以看到具有正确名称和值的变量。

为什么我仍然收到此错误？

我遇到了同样的问题，并通过创建每次登录生产服务器时都要加载的环境变量来解决了该问题，并制作了配置它的步骤的迷你指南：

我在Unicorn v4.8.2上使用Rails 4.1，当我尝试部署我的应用程序时，它无法正常启动，并且在unicorn.log文件中我发现以下错误消息：

app error: Missing `secret_key_base` for 'production' environment, set this value in `config/secrets.yml` (RuntimeError)

经过一番研究，我发现Rails 4.1改变了管理的方式secret_key，因此，如果您阅读secrets.yml位于的文件，exampleRailsProject/config/secrets.yml将会发现类似以下内容：

# Do not keep production secrets in the repository,
# instead read values from the environment.
production:
  secret_key_base: <%= ENV["SECRET_KEY_BASE"] %>

这意味着Rails建议您secret_key_base在生产服务器中使用环境变量。为了解决此错误，您应该按照以下步骤在生产服务器中为Linux（在我的情况下为Ubuntu）创建环境变量：

1. 在生产服务器的终端中执行：

   $ RAILS_ENV=production rake secret

   这将返回包含字母和数字的大字符串。复制该代码，我们将其称为GENERATED_CODE。

2. 登录到您的服务器

   • 如果您以root用户身份登录，请找到此文件并进行编辑：

     $ vi /etc/profile

     在vi中使用Shift+ G（大写“ G”）转到文件底部。

     用编写您的环境变量GENERATED_CODE，按i插入vi。确保在文件末尾添加新行：

     $ export SECRET_KEY_BASE=GENERATED_CODE

     保存更改并使用Esc，然后使用“ :x” 关闭文件，然后Enter在vi中保存并退出。

   • 但是，如果您以普通用户身份登录，则example_user可以将此名称称为“ ”，您将需要找到以下其他文件之一：

     $ vi ~/.bash_profile
     $ vi ~/.bash_login
     $ vi ~/.profile
     

     这些文件按重要性排序，这意味着，如果您拥有第一个文件，则无需编辑其他文件。如果您发现您的目录中这两个文件~/.bash_profile，并~/.profile只将在第一个写的~/.bash_profile，因为Linux只会读取这一个，其他的将被忽略。

     然后，我们去了文件的使用底部Shift+ G再次与我们写的环境变量GENERATED_CODE使用 i一次，并且一定要在文件的结尾添加新行：

     $ export SECRET_KEY_BASE=GENERATED_CODE

     已经写好的代码，保存更改并关闭使用该文件Esc再次和“ :x”，并Enter保存并退出。

3. 您可以使用以下命令验证我们的环境变量是否在Linux中正确设置：

   $ printenv | grep SECRET_KEY_BASE

   或搭配：

   $ echo $SECRET_KEY_BASE

   当您执行此命令时，如果一切正常，它将显示GENERATED_CODE以前的内容。最后，在完成所有配置后，您应该能够毫无问题地使用Unicorn或其他工具部署Rails应用程序。

当您关闭外壳程序并再次登录生产服务器时，将设置此环境变量并准备使用它。

就是这样！希望本迷你指南可以帮助您解决此错误。

免责声明：我不是Linux或Rails专家，所以如果您发现任何错误或任何错误，我将很乐意解决。

我将假设您没有secrets.yml签入源代码管理（即，它在.gitignore文件中）。即使这不是您的情况，这也是许多查看此问题的其他人所做的，因为他们的代码公开在Github上，并且不希望他们的秘密密钥在周围浮动。

如果不在源代码管理中，Heroku对此一无所知。因此，Rails正在寻找Rails.application.secrets.secret_key_base并且尚未设置它，因为Rails通过检查secrets.yml不存在的文件来设置它。简单的解决方法是进入config/environments/production.rb文件并添加以下行：

Rails.application.configure do
    ...
    config.secret_key_base = ENV["SECRET_KEY_BASE"]
    ...
end

这告诉您的应用程序使用环境变量设置私钥，而不是在中查找私钥secrets.yml。这样可以节省很多时间来预先了解这一点。

添加config/secrets.yml到版本控制并再次部署。您可能需要从中删除一行，.gitignore以便可以提交文件。

我遇到了完全相同的问题，结果发现.gitignoreGithub为我的Rails应用程序创建了样板config/secrets.yml。

这对我有用。

SSH进入生产服务器并cd进入当前目录，运行bundle exec rake secret或rake secret，您将获得一个长字符串作为输出，复制该字符串。

现在运行sudo nano /etc/environment。

粘贴在文件底部

export SECRET_KEY_BASE=rake secret
ruby -e 'p ENV["SECRET_KEY_BASE"]'

rake secret您刚刚复制的字符串在哪里，将复制的字符串粘贴到的位置rake secret。

重新启动服务器并通过运行进行测试echo $SECRET_KEY_BASE。

虽然您可以像其他答案一样使用初始化程序，但传统的Rails 4.1+方法是使用config/secrets.yml。Rails团队引入此问题的原因超出了此答案的范围，但TL; DR的问题在于secret_token.rb将配置和代码混为一谈，并且存在安全风险，因为令牌已签入到源代码管理历史记录中，并且是唯一需要执行以下操作的系统：知道生产秘密令牌是生产基础结构。

您应该将此文件添加到.gitignore就像您也不会添加config/database.yml到源代码管理中一样。

引用Heroku的自己的代码用于设置config/database.yml从DATABASE_URL他们的Buildpack为Ruby，我结束了分叉的回购和修改它来创建config/secrets.yml从SECRETS_KEY_BASE环境变量。

由于该功能是在Rails 4.1中引入的，因此我认为编辑./lib/language_pack/rails41.rb和添加此功能是适当的。

以下是我在公司创建的经过修改的buildpack 的摘录：

class LanguagePack::Rails41 < LanguagePack::Rails4

  # ...

  def compile
    instrument "rails41.compile" do
      super
      allow_git do
        create_secrets_yml
      end
    end
  end

  # ...

  # writes ERB based secrets.yml for Rails 4.1+
  def create_secrets_yml
    instrument 'ruby.create_secrets_yml' do
      log("create_secrets_yml") do
        return unless File.directory?("config")
        topic("Writing config/secrets.yml to read from SECRET_KEY_BASE")
        File.open("config/secrets.yml", "w") do |file|
          file.puts <<-SECRETS_YML
<%
raise "No RACK_ENV or RAILS_ENV found" unless ENV["RAILS_ENV"] || ENV["RACK_ENV"]
%>

<%= ENV["RAILS_ENV"] || ENV["RACK_ENV"] %>:
  secret_key_base: <%= ENV["SECRET_KEY_BASE"] %>
          SECRETS_YML
        end
      end
    end
  end

  # ...

end

您当然可以扩展此代码，以添加要从您的环境变量中读取的其他机密信息（例如，第三方API密钥等）：

...
<%= ENV["RAILS_ENV"] || ENV["RACK_ENV"] %>:
  secret_key_base: <%= ENV["SECRET_KEY_BASE"] %>
  third_party_api_key: <%= ENV["THIRD_PARTY_API"] %>

这样，您可以以非常标准的方式访问此机密：

Rails.application.secrets.third_party_api_key

在重新部署应用程序之前，请确保首先设置环境变量：

然后将修改后的buildpack（或者不欢迎您链接到我的链接）添加到Heroku应用程序中（请参阅Heroku 文档）并重新部署您的应用程序。

config/secrets.yml每当您git push访问Heroku 时，作为dyno生成过程的一部分，buildpack都会自动从环境变量中创建您。

编辑：Heroku自己的文档建议创建config/secrets.yml从环境变量读取，但这意味着您应将此文件检入源代码管理。就我而言，这并不奏效，因为我已经硬编码了我宁愿不签到的开发和测试环境的秘密。

您可以将私钥导出到服务器上的~/.bashrc或作为环境变量~/.bash_profile：

export SECRET_KEY_BASE = "YOUR_SECRET_KEY"

然后，您可以获取您的.bashrc或.bash_profile：

source ~/.bashrc 
source ~/.bash_profile

永远不要泄露您的secrets.yml

就我而言，问题是config/master.key版本控制中没有，我在另一台计算机上创建了该项目。

Rails创建的默认.gitignore排除了此文件。由于没有此文件就无法部署，因此必须处于版本控制中，以便能够从任何团队成员的计算机进行部署。

解决方案：config/master.key从中删除行.gitignore，从创建项目的计算机中提交文件，现在您可以git pull在另一台计算机上并从中进行部署。

人们说不要在不提供替代解决方案的情况下将其中一些文件提交给版本控制。只要您不从事开源项目，我就没有理由不提交运行该项目所需的所有信息，包括凭据。

对于rails6，我面临着同样的问题，因为我缺少以下文件，一旦添加它们，问题就解决了：

1. config/master.key
2. config/credentials.yml.enc

确保您有此文件。

我的工作：在生产服务器上，我为Thin（我正在使用它）创建一个配置文件（confthin.yml）并添加以下信息：

environment: production
user: www-data
group: www-data
SECRET_KEY_BASE: mysecretkeyproduction

然后，我使用

thin start -C /whereeveristhefieonprod/configthin.yml

像魅力一样工作，然后不需要版本控制上的密钥

希望它能有所帮助，但是我敢肯定，独角兽公司和其他公司也可以做同样的事情。

我有一个在Rails 4.1应用程序中使用过的补丁，通过允许secret_key_base为空，可以让我继续使用旧式密钥生成器（并因此实现与Rails 3的向后会话兼容性）。

Rails::Application.class_eval do
  # the key_generator will then use ActiveSupport::LegacyKeyGenerator.new(config.secret_token)
  fail "I'm sorry, Dave, there's no :validate_secret_key_config!" unless instance_method(:validate_secret_key_config!)
  def validate_secret_key_config! #:nodoc:
    config.secret_token = secrets.secret_token
    if config.secret_token.blank?
      raise "Missing `secret_token` for '#{Rails.env}' environment, set this value in `config/secrets.yml`"
    end 
  end 
end

从那以后，我重新格式化了补丁，并将其作为请求请求提交给Rails。

我已经创建了config/initializers/secret_key.rb文件，并且只编写了以下代码行：

Rails.application.config.secret_key_base = ENV["SECRET_KEY_BASE"]

但是我认为@Erik Trautman发布的解决方案更优雅;）

编辑：哦，最后我在Heroku上找到了这个建议：https : //devcenter.heroku.com/changelog-items/426 :)

请享用！

这是很好的工作https://gist.github.com/pablosalgadom/4d75f30517edc6230a67 对于root用户应该编辑

$ /etc/profile

但如果您不是root用户，则应将生成代码放在下面

$ ~/.bash_profile

$ ~/.bash_login

$ ~/.profile

在Nginx / Passenger / Ruby（2.4）/ Rails（5.1.1）上，除了：

passenger_env_var在/etc/nginx/sites-available/default服务器块中。

来源：https：//www.phusionpassenger.com/library/config/nginx/reference/#passenger_env_var

Demi Magus的答案对我一直有效，直到Rails 5。

在Apache2 / Passenger / Ruby（2.4）/ Rails（5.1.6）上，我不得不输入

export SECRET_KEY_BASE=GENERATED_CODE

来自/ etc / apache2 / envvars中的Demi Magus的答案，导致/ etc / profile似乎被忽略了。

资料来源：https : //www.phusionpassenger.com/library/indepth/environment_variables.html#apache

使用https://github.com/github/gitignore/blob/master/Rails.gitignore的.gitignore文件后，我遇到了同样的问题

我在.gitignore文件中注释了以下几行后，一切正常。

config/initializers/secret_token.rb
config/secrets.yml