通过 gem 与 A​​pache 级别的 Rails SSL 重定向

Question

我正在研究实施 SSL 来保护我的 Rails 应用程序的最佳方法。今天的建议似乎是始终使用 SSL。目前似乎有两种方法可以做到这一点：

1. 使用诸如 Rack::SSL 或 Rack::SslEnforcer 之类的 gem，详细讨论如下： http://collectiveidea.com/blog/archives/2010 /11/29/ssl-with-rails/

2. 在网络服务器级别重定向，推荐此处： Rails + SSL：每个控制器还是应用程序范围？

确信 Apache 级别的重定向（假设正在运行 Apache）必须是一种可行的方法，既可以简化实现，又可以提高性能。

我不明白也没有看到解决的是为什么有这么多的精力和注意力投入到使用 gems 在应用程序层做这件事？甚至有来自 DHH 的评论（上面第一个链接中的最后一条评论）指出“Rails 3.1 现在将在应用程序和控制器级别内置force_ssl。”那么我错过了什么？

为什么人们会选择使用其中一种宝石来一直使用 SSL？

Answer 1

第一，这是 Rails 社区很容易接受的标准。现在，每当您想要 Rails 应用程序需要 https 时，您都可以翻转这个开关，无论您使用什么服务器或其他架构，它都可以工作。

第二，如果您使用 Heroku 等托管服务，则无论如何您都无权访问服务器配置设置。

Answer 2

force_ssl 是 Rails 3 中添加的一个配置属性。它使应用程序使用 Rack::SSL 中间件。
参考： http://edgeguides.rubyonrails.org/configuring.html

所以 config.force_ssl 是方便，让您避免弄乱机架堆栈；它已经为你做好了。

在Rails 2.X应用程序中，您不会有force_ssl，并且必须自己注入Rack::SSL或Rack::SslEnforcer。