Zabezpieczenia, uwierzytelnianie i autoryzacja w ASP.NET Web Forms
Zalecamy użycie najbezpieczniejszej opcji bezpiecznego uwierzytelniania. W przypadku aplikacji platformy .NET wdrożonych na platformie Azure zobacz:
- Biblioteki usługi Azure Key Vault dla platformy .NET
- Integracja z usługą .NET Aspire w usłudze Azure Key Vault
Usługi Azure Key Vault i .NET Aspire zapewniają najbezpieczniejszy sposób przechowywania i pobierania wpisów tajnych. Azure Key Vault to usługa w chmurze, która chroni klucze szyfrowania i wpisy tajne, takie jak certyfikaty, parametry połączenia i hasła. Aby uzyskać informacje na temat platformy .NET Aspire, zobacz Bezpieczna komunikacja między integracją hostingu i klienta.
Unikaj udzielania poświadczeń hasła właściciela zasobu, ponieważ:
- Uwidacznia hasło użytkownika klientowi.
- Jest istotnym zagrożeniem bezpieczeństwa.
- Należy używać tylko wtedy, gdy inne przepływy uwierzytelniania nie są możliwe.
Po wdrożeniu aplikacji na serwerze testowym można użyć zmiennej środowiskowej, aby ustawić parametry połączenia na testowy serwer bazy danych. Zmienne środowiskowe są zwykle przechowywane w postaci zwykłego, niezaszyfrowanego tekstu. W przypadku naruszenia zabezpieczeń maszyny lub procesu zmienne środowiskowe mogą być dostępne dla niezaufanych stron. Zalecamy używanie zmiennych środowiskowych do przechowywania parametry połączenia produkcyjnych, ponieważ nie jest to najbezpieczniejsze podejście.
Wytyczne dotyczące danych konfiguracji:
- Nigdy nie przechowuj haseł ani innych poufnych danych w kodzie dostawcy konfiguracji ani w plikach konfiguracji w postaci zwykłego tekstu.
- Nie używaj wpisów tajnych produkcji w środowiskach tworzenia ani testowania.
- Określaj wpisy tajne poza projektem, aby nie można było ich przypadkowo zatwierdzić w repozytorium kodu źródłowego.
Jak zezwolić użytkownikom na logowanie się do witryny (i opcjonalnie być przypisane do ról) przy użyciu formularza logowania lub uwierzytelniania systemu Windows.