Bien démarrer avec ASP.NET Identity

Le système d’identité ASP.NET est conçu pour remplacer les systèmes d’appartenance ASP.NET et d’appartenance simple précédents. Il inclut la prise en charge des profils, l’intégration OAuth, fonctionne avec OWIN et est inclus avec les modèles ASP.NET fournis avec Visual Studio 2013.

Nous vous recommandons d’utiliser l’option d’authentification sécurisée la plus sécurisée. Pour les applications .NET déployées sur Azure, consultez :

• Bibliothèques Azure Key Vault pour .NET
• Intégration Azure Key Vault .NET Aspire

Azure Key Vault et .NET Aspire offrent le moyen le plus sécurisé de stocker et de récupérer des secrets. Azure Key Vault est un service cloud qui protège les clés de chiffrement et les secrets tels que les certificats, les chaînes de connexion et les mots de passe. Pour .NET Aspire, consultez Communication sécurisée entre l’hébergement et les intégrations clientes.

Évitez le Resource Owner Password Credentials Grant car il :

• Expose le mot de passe de l’utilisateur au client.
• Est un risque de sécurité important.
• Doit être utilisé uniquement lorsque d’autres flux d’authentification ne sont pas possibles.

Lorsque l’application est déployée sur un serveur de test, une variable d’environnement peut être utilisée pour définir la chaîne de connexion sur un serveur de base de données de test. Les variables d’environnement sont généralement stockées en texte brut et non chiffré. Si l’ordinateur ou le processus est compromis, les variables d’environnement sont accessibles par des parties non approuvées. Nous vous déconseillons d’utiliser des variables d’environnement pour stocker une chaîne de connexion de production, car ce n’est pas l’approche la plus sécurisée.

Recommandations en matière de données de configuration :

• Ne stockez jamais de mots de passe ou d’autres données sensibles dans le code du fournisseur de configuration ou dans des fichiers de configuration en texte brut.
• N’utilisez pas de secrets de production dans des environnements de développement ou de test.
• Spécifiez des secrets en dehors du projet afin qu’ils ne puissent pas être validés accidentellement dans un référentiel de code source.

• Introduction à ASP.NET Identity
• Ressources recommandées pour ASP.NET Identity
• Ajout d’ASP.NET Identity à un projet Web Forms vide ou existant
• Développement d’applications ASP.NET avec Azure Active Directory
• ASP.NET Identity : Utilisation du stockage MySQL avec un fournisseur MySQL Entity Framework (C#)