Säkerhet, autentisering och auktorisering i ASP.NET webbformulär

Vi rekommenderar att du använder det säkraste autentiseringsalternativet. Information om .NET-appar som distribuerats till Azure finns i:

• Azure Key Vault-bibliotek för .NET
• .NET Aspire Azure Key Vault-integrering

Azure Key Vault och .NET Aspire är det säkraste sättet att lagra och hämta hemligheter. Azure Key Vault är en molntjänst som skyddar krypteringsnycklar och hemligheter som certifikat, anslutningssträngar och lösenord. Information om .NET Aspire finns i Säker kommunikation mellan värd- och klientintegreringar.

Undvik att bevilja autentiseringsuppgifter för resursägares lösenord eftersom det:

• Exponerar användarens lösenord för klienten.
• Är en betydande säkerhetsrisk.
• Bör endast användas när andra autentiseringsflöden inte är möjliga.

När appen distribueras till en testserver kan en miljövariabel användas för att ange anslutningssträngen till en testdatabasserver. Miljövariabler lagras vanligtvis i oformaterad, okrypterad text. Om datorn eller processen komprometteras kan miljövariabler nås av ej betrodda parter. Vi rekommenderar att du inte använder miljövariabler för att lagra en produktionsanslutningssträng eftersom det inte är den säkraste metoden.

Riktlinjer för konfigurationsdata:

• Lagra aldrig lösenord eller andra känsliga data i konfigurationsproviderns kod eller i konfigurationsfiler för oformaterad text.
• Använd inte produktionshemligheter i utvecklings- eller testmiljöer.
• Ange hemligheter utanför projektet så att de inte av misstag kan checkas in på en källkodslagringsplats.

Så här låter du användare logga in på din webbplats (och eventuellt tilldelas till roller) med hjälp av antingen ett inloggningsformulär eller Windows-autentisering.

• Skapa en säker ASP.NET Web Forms-app med användarregistrering, e-postbekräftelse och lösenordsåterställning (C#)
• Skapa en ASP.NET Web Forms-app med SMS Two-Factor-autentisering (C#)