Compartir a través de

Introducción a ASP.NET Identity

  • Artículo

El sistema de identidad de ASP.NET está diseñado para reemplazar los sistemas anteriores ASP.NET Membership y Simple Membership. Incluye compatibilidad con perfiles, integración de OAuth, funciona con OWIN y se incluye con las plantillas de ASP.NET enviadas con Visual Studio 2013.

Se recomienda usar la opción de autenticación segura más segura. Para las aplicaciones .NET implementadas en Azure, consulte:

Azure Key Vault y .NET Aspire proporcionan la manera más segura de almacenar y recuperar secretos. Azure Key Vault es un servicio en la nube que protege las claves de cifrado y los secretos, como certificados, cadenas de conexión y contraseñas. Para .NET Aspire, consulte Comunicación segura entre las integraciones de hospedaje y cliente.

Evite la concesión de credenciales de contraseña del propietario del recurso porque:

  • Expone la contraseña del usuario al cliente.
  • Es un riesgo de seguridad significativo.
  • Solo se debe usar cuando no se puedan usar otros flujos de autenticación.

Cuando la aplicación se implementa en un servidor de prueba, se puede usar una variable de entorno para establecer la cadena de conexión en un servidor de base de datos de prueba. Las variables de entorno se almacenan generalmente en texto sin cifrar. Si la máquina o el proceso están en peligro, las partes que no son de confianza pueden acceder a las variables de entorno. Se recomienda no utilizar variables de entorno para almacenar una cadena de conexión de producción, ya que no es el enfoque más seguro.

Directrices de datos de configuración:

  • Nunca almacene contraseñas u otros datos confidenciales en el código del proveedor de configuración o en archivos de configuración de texto sin formato.
  • No use secretos de producción en entornos de desarrollo o pruebas.
  • Especifique secretos fuera del proyecto para que no se puedan confirmar accidentalmente en un repositorio de código fuente.