使用来自secret_token.rb初始化器的现有secret_key_base设置SECRET_KEY_BASE环境变量， 为在生产模式下运行Rails应用程序的任何用户。 或者，您可以将现有的secret_key_base从secret_token.rb初始化器复制到secrets.yml的production部分中， 替换<%= ENV [“SECRET_KEY_BASE”]％>。

export SECRET_TOKEN="9489b3eee4eccf317ed77407553e8adc97baca7c74dc7ee33cd93e4c8b69477eea66eaedeb18af0be2679887c7c69c0a28c0fded0a71ea472a8c4laalal19cb"

然后在 config/initializers/secret_token.rb 中：

YourAppName::Application.config.secret_key_base = if Rails.env.development? or Rails.env.test? # generate simple key for test and development environments
  ('a' * 30) # should be at least 30 chars long
else
  ENV['SECRET_TOKEN']
end

这篇文章内容丰富、有些老旧，但对这个主题非常有用。

更新于04.05.15

从Rails 4.2开始，不再使用secret_token.rb文件。按照新约定，有一个config/secrets.yml文件用于存储应用程序的机密信息。

请参阅如何根据创新升级现有应用程序到4.2.x版本。

技术上secrect_key_base的目的是作为应用程序的key_generator方法（检查Rails.application.key_generator）的秘密输入。

应用程序的key_generator以及secret_key_base由Rails框架内的三个核心功能使用：

• 为可通过cookies.encrypted访问的加密cookie派生密钥。
• 为可通过cookies.signed访问的HMAC签名cookie派生密钥。
• 为应用程序的所有命名message_verifier实例派生密钥。

请在@michaeljcoyne的文章中了解更多关于这三个功能的信息。

secret_key_base用于加密和签名会话

以便在cookie中安全地来回发送会话

在Rails 4中，

1. 如果您的应用程序名为Hello，并且
2. 您设置了session ['a'] ='b'，

您的cookie将类似于此：

_Hello_session=BAh7B0kiD3%3D%3D--dc40a55cd52fe32bb3b84ae0608956dfb5824689

翻译成中文为：

_Hello_session=<encrypted a=b>--<digital signature>

Cookie是由服务器设置并保存在客户端，每次请求页面时浏览器会重新发送已经设置的cookie到服务器。

为了防止恶意人士理解字符串，它被加密。
为了防止恶意人士篡改cookie，使用数字签名。

在这两种情况下都使用secret_key_base值（用于加密/解密a=b并验证数字签名）。