Estoy bastante confundido por lo que se usa secret_token en Rails. ¿Alguien puede explicar para qué se usa? ¿Está bien colocar este token en un repositorio de origen público y usarlo en producción, o debo cambiarlo antes de implementar mi aplicación para evitar algunos tipos de ataques?Ficha secreta de rieles
Respondiendo a mi propia pregunta: secret_token se usa para evitar la manipulación de cookies en Rails. Cada cookie tiene una suma de comprobación guardada con ella, por lo que los usuarios no modificarán el contenido de las cookies (y cambiarán la identificación de usuario guardada para robar la cuenta de alguien, por ejemplo). La suma de comprobación se basa en el contenido de la cookie y secret_token, por lo que si está utilizando sesiones basadas en cookies, siempre debe asegurarse de que secret_token sea realmente secreto, de lo contrario no puede confiar en que todo lo que puso en sesión volvió sin cambios.