Безопасность, проверка подлинности и авторизация в ASP.NET веб-формы
Рекомендуется использовать самый безопасный вариант проверки подлинности. Сведения о приложениях .NET, развернутых в Azure, см. в статье:
Azure Key Vault и .NET Aspire предоставляют наиболее безопасный способ хранения и извлечения секретов. Azure Key Vault — это облачная служба, которая обеспечивает защиту ключей шифрования и секретов (например, сертификатов, строк подключения и паролей). Сведения о .NET Aspire см. в разделе "Безопасный обмен данными между размещением и интеграцией клиентов".
Избегайте предоставления учетных данных владельца ресурса, так как он:
- Предоставляет клиенту пароль пользователя.
- Значительный риск безопасности.
- Следует использовать только в том случае, если другие потоки проверки подлинности недоступны.
При развертывании приложения на тестовом сервере переменная среды может использоваться для установки строка подключения на тестовый сервер базы данных. Переменные среды обычно хранятся в простом незашифрованном тексте. Если компьютер или процесс скомпрометированы, переменные среды могут быть доступны ненадежным сторонам. Мы рекомендуем использовать переменные среды для хранения рабочей строка подключения, так как это не самый безопасный подход.
Рекомендации по данным конфигурации:
- Никогда не храните пароли или другие конфиденциальные данные в коде поставщика конфигурации или в файлах конфигурации обычного текста.
- Не используйте секреты рабочей среды в средах разработки и тестирования.
- Указывайте секреты вне проекта, чтобы их нельзя было случайно зафиксировать в репозитории с исходным кодом.
Как разрешить пользователям входить на сайт (и при необходимости назначать роли) с помощью формы входа или проверка подлинности Windows.