Guida introduttiva ad ASP.NET Identity
Il sistema di identità ASP.NET è progettato per sostituire i sistemi di appartenenza ASP.NET e di appartenenza semplice precedenti. Include il supporto del profilo, l'integrazione OAuth, funziona con OWIN ed è incluso nei modelli di ASP.NET forniti con Visual Studio 2013.
È consigliabile usare l'opzione di autenticazione sicura più sicura. Per le app .NET distribuite in Azure, vedere:
Azure Key Vault e .NET Aspirare offrono il modo più sicuro per archiviare e recuperare i segreti. Azure Key Vault è un servizio cloud che protegge le chiavi di crittografia e i segreti, ad esempio certificati, stringhe di connessione e password. Per .NET Aspire, vedere Comunicazione sicura tra l'hosting e le integrazioni client.
Evitare la concessione delle credenziali della password del proprietario della risorsa perché:
- Espone la password dell'utente al client.
- È un rischio significativo per la sicurezza.
- Deve essere usato solo quando altri flussi di autenticazione non sono possibili.
Quando l'app viene distribuita in un server di test, è possibile usare una variabile di ambiente per impostare la stringa di connessione su un server di database di test. Le variabili di ambiente vengono in genere archiviate in testo normale e non crittografato. Se il computer o il processo è compromesso, è possibile accedere alle variabili di ambiente da parti non attendibili. Si sconsiglia di utilizzare le variabili di ambiente per archiviare una stringa di connessione di produzione, in quanto non è l'approccio più sicuro.
Linee guida per i dati di configurazione:
- Non archiviare mai password o altri dati sensibili nel codice del provider di configurazione o nei file di configurazione di testo normale.
- Non usare segreti di produzione in ambienti di sviluppo o test.
- Specificare segreti all'esterno del progetto in modo che non possano essere accidentalmente sottoposti a commit in un repository di codice sorgente.