Zabezpečení, ověřování a autorizace ve webových formulářích ASP.NET
Doporučujeme použít nejbezpečnější zabezpečenou možnost ověřování. Informace o aplikacích .NET nasazených do Azure najdete tady:
Azure Key Vault a .NET Aspire poskytují nejbezpečnější způsob ukládání a načítání tajných kódů. Azure Key Vault je cloudová služba, která chrání šifrovací klíče a tajné kódy, jako jsou certifikáty, připojovací řetězec a hesla. Informace o rozhraní .NET Aspire naleznete v tématu Zabezpečená komunikace mezi hostování a integracemi klientů.
Vyhněte se udělení přihlašovacích údajů vlastníka prostředku, protože:
- Zpřístupní heslo uživatele klientovi.
- Jedná se o významné bezpečnostní riziko.
- Mělo by se použít jenom v případě, že jiné toky ověřování nejsou možné.
Když je aplikace nasazená na testovací server, můžete proměnnou prostředí použít k nastavení připojovací řetězec na testovací databázový server. Proměnné prostředí jsou obecně uložené ve formátu prostého a nešifrovaného textu. Pokud dojde k ohrožení zabezpečení počítače nebo procesu, můžou k proměnným prostředí přistupovat nedůvěryhodné strany. Doporučujeme použít proměnné prostředí k uložení produkčního připojovací řetězec, protože to není nejbezpečnější přístup.
Pokyny pro konfigurační data:
- Nikdy neukládejte hesla ani jiné citlivé údaje v kódu zprostředkovatele konfigurace nebo v textových konfiguračních souborech.
- Nepoužívejte produkční tajné kódy ve vývojových nebo testovacích prostředích.
- Tajné kódy zadávejte mimo projekt, aby nemohly být omylem potvrzeny do úložiště zdrojového kódu.
Jak umožnit uživatelům přihlásit se k vašemu webu (a volitelně k rolím) pomocí přihlašovacího formuláře nebo ověřování systému Windows.