Seguridad, autenticación y autorización en ASP.NET Web Forms
Se recomienda usar la opción de autenticación segura más segura. Para las aplicaciones .NET implementadas en Azure, consulte:
Azure Key Vault y .NET Aspire proporcionan la manera más segura de almacenar y recuperar secretos. Azure Key Vault es un servicio en la nube que protege las claves de cifrado y los secretos, como certificados, cadenas de conexión y contraseñas. Para .NET Aspire, consulte Comunicación segura entre las integraciones de hospedaje y cliente.
Evita la concesión de credenciales de contraseña de propietario del recurso, ya que:
- Expone la contraseña del usuario al cliente.
- Es un riesgo de seguridad considerable.
- Solo se debe usar cuando no se puedan usar otros flujos de autenticación.
Cuando la aplicación se implementa en un servidor de prueba, se puede utilizar una variable de entorno para establecer la cadena de conexión en un servidor de base de datos de prueba. Las variables de entorno se almacenan generalmente en texto sin formato y sin cifrar. Si la máquina o el proceso están en peligro, las partes que no son de confianza pueden acceder a las variables de entorno. Se recomienda usar variables de entorno para almacenar una cadena de conexión de producción, ya que no es el enfoque más seguro.
Directrices para los datos de configuración:
- Nunca almacene contraseñas u otros datos confidenciales en el código del proveedor de configuración o en archivos de configuración de texto sin formato.
- No use secretos de producción en los entornos de desarrollo o pruebas.
- Especifique los secretos fuera del proyecto para que no se confirmen en un repositorio de código fuente de manera accidental.
Cómo permitir a los usuarios iniciar sesión en el sitio (y, opcionalmente, asignarles roles) mediante un formulario de inicio de sesión o la autenticación de Windows.