Gestión de Credenciales Seguras en Ruby on Rails

Clase 10 de 36 • Curso de Introducción a Ruby on Rails

Contenido del curso

Introducción

Entorno de desarollo

Nuestra primera aplicación

Proyecto del curso: primeros pasos

Proyecto del curso: usuarios

Proyecto del curso: interacciones

Cierre

Tomar examen

Resumen

Proteger la información confidencial de tu aplicación es una de las responsabilidades más críticas en el desarrollo web. Ruby on Rails ofrece un sistema robusto de credenciales encriptadas que permite gestionar contraseñas, claves de acceso y datos sensibles sin comprometer la seguridad entre distintos ambientes de trabajo. Comprender este mecanismo te dará control total sobre cómo fluye la información confidencial desde tu entorno local hasta producción.

¿Por qué necesitas secretos en diferentes ambientes de desarrollo?

Cuando trabajas solo en tu computador con una base de datos como SQLite [00:28], no necesitas preocuparte demasiado por las credenciales, ya que esta base de datos viene preconfigurada sin requerir usuario ni contraseña. El problema aparece cuando tu proyecto crece: más desarrolladores se suman, necesitas ambientes de pruebas, un ambiente espejo y finalmente un ambiente de producción [01:15].

Si todos estos ambientes compartieran las mismas credenciales, perderías toda confidencialidad y el manejo se volvería caótico. Cada entorno debe tener su propia configuración aislada para garantizar la seguridad.

¿Cómo evolucionó el manejo de credenciales en Rails?

Rails ha recorrido un camino largo para resolver este problema. Entender esta cronología te ayuda a comprender por qué el sistema actual funciona como lo hace.

En las primeras versiones existía únicamente el archivo database.yml para configurar el acceso a bases de datos [02:05].
En Rails 3, los desarrolladores creaban sus propios sistemas de configuración con convenciones individuales por proyecto [02:20].
En Rails 4 se introdujo secrets.yml, un archivo dedicado a almacenar contraseñas y credenciales de acceso [02:35].
En Rails 5.2 llegó el concepto de credenciales encriptadas, un salto importante en seguridad que permitía compartir estructuras sin exponer la información [02:55].
En Rails 6 este sistema maduró con la separación individual de credenciales por ambiente [03:25].

Esta evolución conecta directamente con los principios del manifiesto Twelve-Factor App [03:35], que establece que debes guardar la configuración en el entorno. Rails cumple exactamente con esta práctica recomendada para aplicaciones bien arquitecturadas.

¿Qué archivos intervienen en la gestión de información sensible?

Dentro de la carpeta config de tu proyecto encontrarás dos archivos fundamentales [04:25]:

credentials.yml.enc: contiene las credenciales encriptadas. No puedes editarlo directamente desde el editor de texto porque su contenido está cifrado.
database.yml: almacena la configuración de conexión a bases de datos. Fue creado automáticamente con el comando rails new.

También existe el archivo storage.yml, asociado a servicios de almacenamiento externo [03:12], aunque su uso corresponde a configuraciones más avanzadas.

¿Cómo editar las credenciales encriptadas desde la consola?

Para modificar el archivo credentials.yml.enc necesitas ejecutar un comando especial desde la terminal [05:10]:

bash EDITOR=nano rails credentials:edit

La palabra EDITOR en mayúscula es una variable de entorno que indica qué editor de texto utilizará Rails para abrir el archivo descifrado. Al ejecutar este comando, accedes al contenido real del archivo.

Dentro encontrarás una clave ya existente llamada secret_key_base [05:40], un valor extenso que Rails usa para establecer esquemas de seguridad entre peticiones. Puedes agregar tus propias claves usando un sistema de llave y valor:

yaml hello: 123456

Para guardar los cambios presiona Ctrl + X, luego Y y finalmente Enter. Verás el mensaje File encrypted and saved [06:20], confirmando que el archivo fue cifrado y almacenado correctamente.

¿Cómo acceder a las credenciales desde tu aplicación Rails?

Desde la consola de Rails puedes consultar cualquier credencial almacenada utilizando la cadena de métodos [06:35]:

ruby Rails.application.credentials.hello

=> "123456"

Este mismo patrón funciona dentro de los controladores. Por ejemplo, en el Welcome Controller, puedes asignar el valor de una credencial a una variable de instancia [07:10]:

ruby def hello @credentials = Rails.application.credentials.hello end

Luego, en la vista hello.html.erb, puedes renderizar esa variable usando la sintaxis de ERB [07:35]:

erb <%= @credentials %>

Aunque este ejercicio muestra las credenciales en pantalla con fines didácticos, en la práctica las credenciales son de uso interno [08:00] y nunca deben exponerse en la interfaz del usuario.

Dominar el sistema de credenciales encriptadas te prepara para trabajar en equipos y desplegar aplicaciones de forma segura. Si tienes dudas sobre cómo organizar tus credenciales por ambiente, comparte tu experiencia en los comentarios.

Comentarios

Gabriel Ortiz

student•

Si cuando ejecutas el metodo Rails.application.credentials.hello te sale nil, vuelve a ejecutar el comando Rails console****

Georg Weibel

student•

Gracias! :)

Enrique Mendoza

student•

en Windows para entrar al a editar el archivo set EDITOR=notepad rails credentials:edit

Manuel Alejandro González Cabello

student•

Muchas gracias!!!

Renzo Leonardo Paredes

student•

Me salvo jajaja

Brayan Vargas

student•

Para los que estén viendo este tutorial y tengan ruby 7 con la terminal powershell de windows se usa este comando para editar las credenciales

$env:EDITOR="code --wait" rails credentials:edit

Piero Nolte

student•

Gracias por el dato! Para que les funcione apliquen esa sentencia en dos linea:

$env:EDITOR = "code --wait"

rails credentials:edit

Eduardo Martin Rico Sotomayor

student•

Aquí les va mi aporte:

En el controller welcome_controller.rb

def hello
    @variable = Pet.first.name
    @variable_dos = Pet.first.breed
  end

En el hello.html.erb:

<p>Hola me llamo <%= @variable %> y soy un <%= @variable_dos %></p>

Esteban Ramos Fernández

student•

Mi Aporte:

Variables Declaración de variables, sus alcances y convenciones

Variables globales, fuera de la clase Las variables globales o fuera de clase se declaran anteponiendo un signo peso ($), ejemplo: irb(main):001> $variable = 1+1

Variables de instancia Las variables de instancia se declaran anteponiendo un signo arroba (@), ejemplo: irb(main):001> @variable = 1+1

Variables locales Las variables locales se declaran sin anteponer algún signo o símbolo, ejemplo: irb(main):001> variable = 1+1

Convenciones para declarar variables Generalmente para declarar variables se utiliza la convención underscore, que permite hacer más legible la lectura de las variables, ejemplo. irb(main):001> variable_flotante = 1.2 irb(main):001> variable_entera = 12345 irb(main):001> variable_cadena = “qwerty”

Sofía González Chavira

student•

Como trata Rails los datos sensibles

Una base de datos viene por defecto en las aplicaciones RoR llamada SQLite. SQLite tiene integrado, por defecto, un sistema de credenciales de acceso. Manejo de secretos con Rails ++ Rails ha diseñado estrategias para lidiar con datos confidenciales. Desde sus primeras versiones hasta la actualidad se ha usado el archivo database.yml. En este archivo esta la configuración de acceso para las bases de datos. ++ No fue hasta la versión 5.2 en que se integraron credenciales encriptadas. Gracias a esta actualización se obtuvo la posibilidad de compartir estructuras mientras se conservaba la confidencialidad. ++ En el archivo database.yml se centra todo le sistema de información sensible. ++ El archivo credentials.yml.enc es un archivo con contenido encriptado. No es posible editarlo ya que necesita del cmd. En el cmd escribimos

EDITOR=nano rails credentials:edit

Este comando nos llevará a un editor en consola donde podremos editar el contenido. Una vez ahi podemos ver una clave por default. Podemos crear la nuestra usando una palabra:numero (hello:123456). Usamos ctrl + x -> y - > enter. Podemos acceder a este archivo usando la clase Rails. Podemos acceder a las claves creadas usando .nombre_clave

Rails.application.credentials

Si vamos al controlador, creado previamente en el editor de texto (welcome_controller.rb), podemos crear una variable dentro de la acción que tenemos (hello), a esta variable le asignamos la invocación anterior (Rails.application.credentials)

Elmer Mauricio Marulanda Osorio

student•

Buenos dias, tengo este error al momento de ejecutar comando, estoy utilizando vscode . Gracias

Lester Potestad Berovides

student•

Si les pasa que no se les muestra en la vista el valor de:

Rails.application.credentials.hello

solo deben detener y volver a lanzar el servidor de rails.

David Campos

student•

Como trata Rails los datos sensibles

Rails ya viene con una base de datos viene por defecto llamada SQLite. SQLite tiene integrado por defecto, un sistema de credenciales de acceso; por lo que no es necesario preocuparse por hacer pruebas con ella.

Sin embargo, en un entorno de desarrollo con múltiples personas o en un entorno de producción no debes exponer las credenciales o información sensible con otras personas.

A lo largo del tiempo Rails ha diseñado diferentes estrategias para lidiar con estos datos confidenciales.

Actualmente, se usa el archivo database.yml donde se guarda toda la información respecto a la conexión con la base de datos y el archivo storage.yml, que se usa para guardar credenciales asociadas a servicios de almacenamiento externo. Además usa un sistema de credenciales encriptado mejorado (credentiasl.yml.enc).

Interactuar con el sistema de credenciales

Los archivos database.yml y credentials.yml.enc se encuentran en la carpeta config del proyecto. El archivo credentials esta encriptado por lo que podemos ver el contenido abriendolo normalmente. El archivo database.yml sí no está encriptado por lo que podemos abrirlo sin problema.

Database.yml

Este archivo es creado con la misma aplicación. A pesar de que este archivo es para guardar credenciales, no tiene ningún dato sobre el usuario y la contraseña de la base de datos, porque Rails configura por defecto la conexión y no es necesario un usuario y contraseña.

Credentiasl.yml.enc

Para abrir y editar este archivo se debe ejecutar el comando rails credentials:edit en la terminal. Pero antes hay que especificar con qué editor se abrirá el archivo, de la siguiente forma: EDITOR=nano rails credentials:edit

Dentro del archivo existe una clave ya creada por defecto llamada secret_key_base y tiene como valor un número para establecer esquemas de seguridad.

Dentro de este archivo podemos definir cualquier credencial que queramos guardar de forma encriptada.

Para acceder a los valores de estas credenciales se ejecuta el siguiente comando, que devolverá el valor de la credencial:

# Rails.application.credentials.<nombre>
Rails.application.credentials.hello

Si se quiere mostrar el valor de una credencial en la vista (no es recomendable) se asigna este comando a una variable y se presenta en la vista como cualquier otra.

NICOLAS EDUARDO GUEVARA PARRA

student•

En windows tambien puedes usar $env:EDITOR="notepad"; rails credentials:edit

Jaime David Burbano Montoya

student•

¿En qué se diferencian los secretos a las variables de entorno?

Lina Paola Soler Franco

student•

no me aparece la credencial cuando ponemos el Rails.application.credentials.hello, me aparece "nil". y pues cuando lo pruebo en el explorador no me muestra nada.

Agustina Corvo

student•

Hola @lipasofra,

Parece que el archivo de credentials no quedó correctamente guardado. Si escribís Rails.application.hola (o cualquier otra cosa) seguro también te devuelve nil.

Para resolver esto: EDITOR=nano rails credentials:edit

Y tal como hizo el profesor en la clase escribe hola: 123456, luego CTRL+X , Y para guardar los cambios, y enter.

Ahora sí, cuando entras a Rails Console (rails c o rails console) Rails.application.credentials.hello => 123456

Espero haber ayudado, cualquier cosa vuelve a preguntar. Saludos!

Harold Adrian Bolanos Rodriguez

student•

Reinicia el server con:

rails s

despues de esto te debe aparecer los valores, la razon es debido a que los secretos son valores que se leen en el inicio del server, por lo que logro notar

Rodrigo Martinez

student•

Para los que esten usando UNIX```js EDITOR=code rails credentials:edit

Jorge Alberto Rodriguez Flores

student•

Puedes especificar el editor que más se adapte a tus gustos. Por ejemplo al usar el comando de abajo....este nos abre las credentials en VScode para modificarlas en el. Una vez ya modificadas guardas y cierras el archivos, y VOILA! ya modificamos las credenciales utilizando VScode.

EDITOR="code --wait" rails credentials:edit

Japheth Calzada López

student•

yo pude modificarlo directamente

Vladimir Guzman

student•

compañeros recuerden que si sale este mensaje de error al intentar en EDITOR=nano rails credentials:edit Mensaje de error : Rails: ActiveSupport::MessageEncryptor::InvalidMessage

Solucion: borramos los archivos config/master.key config/credentials.yml.enc que se crearon por defecto Ejecutamos rails credentials:edit y despues colocamos la linea comando EDITOR=nano rails credentials:edit para continuar con el curso lo que descubrí es que la variable y el valor que colocamos en el editor es que cuando se guarda , este valor también se encripta y si intentas ver el contenido con otro editor de texto no te deja ver lo que agregaste.

Academy nazaries intelligenia

student•

Si no te abre el editor al poner este código EDITOR=nano rails credentials:edit tienes que instalar nano con apt- install nano

Melkin Mosquera

student•

Este es mi aporte del reto pasado.

class WelcomeController < ApplicationController
  def hello
    @my_pet = Pet.first
  end
end

<h2>Hello, my name is: <%= @my_pet.name %> and I'm a <%= @my_pet.breed %>!</h2>

Gerson Chávez

student•

Tengo un problema con el control de versiones de Ruby, cada vez que necesito correr el servidor me da este error:

Your Ruby version is 2.6.3, but your Gemfile specified 2.7.1

Ya he usado rbnv global y local establecer la version de Ruby correcta para este proyecto pero sigue sin establecerla bien. Lo que he encontrado como solución momentanea y modificar la ruta cada vez que necesito correr el servidor usando:

export PATH="$HOME/.rbenv/bin:$PATH"
eval "$(rbenv init -)"

Quisiera saber si alguien sabe una forma de mantener esa ruta siempre que inicio el proyecto sin estar ingresandola una y otra vez. He intentado múltiples métodos sin éxito.

Johan Tique

teacher•

Hola Gerson,

conforme a lo que nos muestras y asumiendo que estás usando Linux y ZSH puedes ir a la guía de installación en la sección de RBENV y verificar si usaste los siguienbtes comandos al inicio de tu instalación

➜ ~ echo 'export PATH="$HOME/.rbenv/bin:$PATH"' >> ~/.zshrc

➜ ~ echo 'eval "$(rbenv init -)"' >> .zshrc

➜ ~ source ~/.zshrc

Debes verificar si tu .zshrc ya contiene esta info al final del mismo...

si estas usando BASH el archivo runcommands equivalente también está en la raíz y se llama .bashrc

Por último la versión de un projecto la puedes definir con el archivo .ruby-version que se debe encontrar en la raíz de cada proyecto.

Gerson Chávez

student•

Muchas gracias @johaned esta vez si funcionó usando los comandos que me has dado y verificando la guía de instalación.

Gestión de Credenciales Seguras en Ruby on Rails

Introducción

Curso Completo de Ruby on Rails: Introducción y Proyecto Práctico

Historia y Evolución de Ruby y Ruby on Rails

Entorno de desarollo

Módulos Esenciales de Ruby on Rails

Instalación de Ruby on Rails en Ubuntu 20.04 LTS

Instalación de Ruby on Rails en macOS y Windows 10

Nuestra primera aplicación

Arquitectura MVC y Flujo de Peticiones en Rails

Creación y Configuración de Aplicaciones Web con Ruby on Rails

Creación de Rutas y Controladores en Ruby on Rails

Creación de Modelos y Migraciones en Ruby on Rails