Ruby on rails 向大规模分发的网站添加安全功能安全吗？

我正在制作一个网站，我正计划使其易于用户部署；他们将能够获取我的源代码并将其部署到他们自己的服务器上，并将其作为自己的服务器运行

---

我想尝试将SSL、OpenID和其他功能合并到网站中。将允许用户访问这些文件，例如我的OpenID/Twitter/Facebook客户端密钥和密码，或SSL证书之类的东西，或其他任何东西。。是潜在的安全隐患还是什么？他们能用这些信息做任何危险的事情吗？

SSL不是应用程序的问题

所有客户端密钥和机密都由您自己负责。。。我不会公开分发

通常人们所做的是从环境中读取这些信息

facebook_client_key = ENV["FACEBOOK_CLIENT_KEY"]

---

因此，部署人员只需配置环境，而不必配置应用程序。

我不想在分发给用户的任何文件中添加客户端密钥和机密之类的内容。他们被称为秘密是有原因的！我不知道Facebook或Twitter的API的来龙去脉，但可以肯定的是，对于像Akismet这样的产品，Wordpress的反垃圾邮件插件，该键用于识别您的特定Wordpress实例

如果你将Wordpress网站用于商业目的，你应该为Akismet付费。问题是，虽然你自己可能不会将其用于商业目的，但这取决于你正在制作和分发的内容，这并不是说其他人不会将其用于商业目的，并最终破坏它，不仅是为了你，也是为了所有使用你的软件的人

您应该将密钥和机密作为应用程序配置的一部分，也许还应该提供有关用户如何获得自己的密钥和机密的说明