Doporučené postupy nasazení hesel a dalších citlivých dat do ASP.NET a služby Azure App Service

Rick Anderson

Upozorňující

• Nikdy neukládejte hesla ani jiná citlivá data ve zdrojovém kódu, včetně konfiguračních souborů.
• Nikdy nepoužívejte produkční tajné kódy při vývoji a testování.

Doporučujeme použít nejbezpečnější zabezpečenou možnost ověřování. Pro služby Azure je nejbezpečnější ověřování spravované identity. U mnoha aplikací je nejbezpečnější možností použití služby Azure Key Vault.

Vyhněte se udělení přihlašovacích údajů vlastníka prostředku, protože:

• Zpřístupní heslo uživatele klientovi.
• Jedná se o významné bezpečnostní riziko.
• Mělo by se použít jenom v případě, že jiné toky ověřování nejsou možné.

Spravované identity představují bezpečný způsob ověřování ve službách bez nutnosti ukládat přihlašovací údaje v kódu, proměnných prostředí nebo konfiguračních souborech. Spravované identity jsou k dispozici pro služby Azure a je možné je používat s Azure SQL, Azure Storage a dalšími službami Azure:

• Spravované identity v Microsoft Entra pro Azure SQL
• Spravované identity pro App Service a Azure Functions
• Zabezpečené toky ověřování

Když je aplikace nasazená na testovací server, můžete proměnnou prostředí použít k nastavení připojovací řetězec na testovací databázový server. Další informace najdete v tématu Konfigurace. Proměnná prostředí by se nikdy neměla používat k ukládání produkčního připojovací řetězec.

Další informace naleznete v tématu:

• Doporučené osvědčené postupy pro spravované identity
• Připojení z aplikace k prostředkům bez zpracování přihlašovacích údajů v kódu
• Služby Azure, které mohou pro přístup k jiným službám používat spravované identity
• Osvědčený postup zabezpečení IETF OAuth 2.0