Sécurité, Authentification et autorisation dans ASP.NET Web Forms

Nous vous recommandons d’utiliser l’option d’authentification sécurisée la plus sécurisée. Pour les applications .NET déployées sur Azure, consultez :

• Bibliothèques Azure Key Vault pour .NET
• Intégration de .NET Aspire Azure Key Vault

Azure Key Vault et .NET Aspire offrent le moyen le plus sécurisé de stocker et de récupérer des secrets. Azure Key Vault est un service cloud qui protège les clés et secrets de chiffrement comme les certificats, chaînes de connexion et mots de passe. Pour .NET Aspire, consultez La communication sécurisée entre l’hébergement et les intégrations clientes.

Évitez l’octroi d’informations d’identification avec mot de passe du propriétaire de la ressource, car :

• Cela expose le mot de passe de l’utilisateur au client.
• Cela peut constituer un risque de sécurité significatif.
• Cela doit être utilisé uniquement lorsque les autres flux d’authentification sont impossibles.

Quand l’application est déployée sur un serveur de test, une variable d’environnement peut être utilisée pour définir la chaîne de connexion à un serveur de base de données de test. Les variables d'environnement sont généralement stockées en texte brut non crypté. Si la machine ou le processus est compromis, les variables d'environnement peuvent être consultées par des parties non fiables. Nous vous recommandons d’utiliser des variables d’environnement pour stocker une chaîne de connexion de production, car ce n’est pas l’approche la plus sécurisée.

Instructions relatives aux données de configuration :

• Ne stockez jamais des mots de passe ou d’autres données sensibles dans le code du fournisseur de configuration ou dans les fichiers de configuration en texte clair.
• N’utilisez aucun secret de production dans les environnements de développement ou de test.
• Spécifiez les secrets en dehors du projet afin qu’ils ne puissent pas être validés par inadvertance dans un référentiel de code source.

Comment permettre aux utilisateurs de se connecter à votre site (et éventuellement d’être affectés à des rôles) à l’aide d’un formulaire de connexion ou d’un Authentification Windows.

• Créer une application Web Forms ASP.NET sécurisée avec inscription de l’utilisateur, confirmation par e-mail et réinitialisation du mot de passe (C#)
• Créer une application Web Forms ASP.NET avec authentification à deux facteurs par SMS (C#)