Herokuは素晴らしいと思われますが、ほとんどの重要なアプリケーションは認証を必要とし、従来の認証方式ではSSL接続が必要です。https://your_app_name.com(https://your_app_name.heroku.comしか取得できません)を取得することは不可能です。あなたは SSLを前述の気にしないあなたが別のドメインを するユーザーを誘導気にしない誰もHeroku(セキュリティ関連)を使用するのはなぜですか?
あなたはHerokuのを使っているのであれば、それはということです認証のためのアプリがあなたをuできる認証
これは問題になりました。ドキュメント(http://docs.heroku.com/ssl、価格についてはhttp://addons.heroku.com/を参照)によれば、HerokuはカスタムドメインがSSLエンドポイントアドオンを通じてSSLを持つことを許可しています。
https://devcenter.heroku.com/articles/ssl-endpoint
Herokuのにもちょうどannounced support for SNI。これにより、HerokuのサービスにホストされているすべてのドメインにSSLを接続できます。それはまだベータ版ですが、すぐにすべての人にプッシュされるべきです。 Herokuは引き続きセキュリティ製品を改善しています。
を必要としない
私の質問にはどちらのオプションがありますか?あなたはSSLについて気にしないと思いますか? –
Herokuでは、カスタムドメイン名を使用することもできます(無料版でも)。 スケーリングは簡単で、非常に簡単で、より良くなっています(私はmemcachedをテストしており、魅力的な仕事、遅延した仕事、バックアップシステムとgitの統合も素晴らしいです)。 あなたが書いたように、私の唯一の問題はSSLです...
SSLの欠如はどのようにショーストッパーではないのですか?それを必要としないアプリケーションの例を挙げることはできますか? –
OpenIDでは、クライアント上のsslを安全にする必要はありません。だから、あなたはそれを使うことができます。 – BaroqueBobcat
Hey、it's James from Heroku。カスタムドメインでSSLを使用できないことは、SSLプロトコルの根本的な問題のため、すべてのマルチテナントプラットフォームで共有される問題です。解決策が完成したら、計画を確定したらすぐに詳細を掲載します。
このアップデートはありますか?現在のデフォルトはまだ$ 20 /月〜$ 240 /月ですか? – Zorayr
私はTwitterアプリケーションの認証にOAuthを使用しています(twitter-auth経由)。
一般的なOpenIDやFacebook Connectでも、他の誰かのサーバーで機密性の高いビットを処理するので、同様に機能します。
Authlogicは、これらのメソッドごとにプラグインがある認証宝石です。
しかし、マルチテナント環境でSSLを稼働させることの難しさを反映した価格を喜んで受け入れるなら、SSLはHerokuで完全にサポートされるようになりました。
-1人にあなたの答えを選択させるためです。 – DJTripleThreat