Udostępnij za pośrednictwem

Wprowadzenie do korzystania z systemu ASP.NET Identity

  • Artykuł

System ASP.NET Identity został zaprojektowany w celu zastąpienia poprzednich systemów członkostwa ASP.NET i prostego członkostwa. Obejmuje ona obsługę profilów, integrację OAuth, współpracuje z OWIN i jest dołączona do szablonów ASP.NET dostarczanych z programem Visual Studio 2013.

Zalecamy użycie najbezpieczniejszej opcji bezpiecznego uwierzytelniania. W przypadku aplikacji platformy .NET wdrożonych na platformie Azure zobacz:

Azure Key Vault i .NET Aspire zapewniają najbezpieczniejszy sposób przechowywania i pobierania tajnych informacji. Azure Key Vault to usługa w chmurze, która chroni klucze szyfrowania i wpisy tajne, takie jak certyfikaty, parametry połączenia i hasła. Aby zapoznać się z programem .NET Aspire, zobacz Bezpieczna komunikacja między hostingiem a integracjami klienta.

Unikaj udzielania poświadczeń hasła właściciela zasobu, ponieważ:

  • Uwidacznia hasło użytkownika klientowi.
  • Jest istotnym zagrożeniem bezpieczeństwa.
  • Należy używać tylko wtedy, gdy inne przepływy uwierzytelniania nie są możliwe.

Po wdrożeniu aplikacji na serwerze testowym zmienna środowiskowa może służyć do ustawiania parametrów połączenia na testowy serwer bazy danych. Zmienne środowiskowe są zwykle przechowywane w postaci zwykłego, niezaszyfrowanego tekstu. W przypadku naruszenia zabezpieczeń maszyny lub procesu zmienne środowiskowe mogą być dostępne dla niezaufanych stron. Nie zalecamy używania zmiennych środowiskowych do przechowywania parametrów połączenia produkcyjnego, ponieważ nie jest to najbezpieczniejsze podejście.

Wytyczne dotyczące danych konfiguracji:

  • Nigdy nie przechowuj haseł ani innych poufnych danych w kodzie dostawcy konfiguracji ani w plikach konfiguracji zwykłego tekstu.
  • Nie używaj tajemnic produkcyjnych w środowiskach programistycznych ani testowych.
  • Określ tajne dane poza projektem, aby nie mogły zostać przypadkowo umieszczone w repozytorium kodu źródłowego.