ASP.NET Web 窗体中的安全性、身份验证和授权

建议使用最安全的身份验证选项。 有关部署到 Azure 的 .NET 应用，请参阅：

• 适用于 .NET 的 Azure 密钥库库
• .NET Aspire Azure 密钥库集成

Azure 密钥库和 .NET Aspire 提供了存储和检索机密的最安全方法。 Azure 密钥保管库是一种云服务，用于保护加密密钥和机密（例如证书、连接字符串和密码）。 有关 .NET Aspire，请参阅 托管与客户端集成之间的安全通信。

避免资源所有者密码凭据授予，因为它：

• 向客户端公开用户的密码。
• 存在重大安全风险。
• 仅当其他身份验证流不可用时，才应使用。

将应用部署到测试服务器时，可以使用环境变量向测试数据库服务器设置连接字符串。 环境变量通常以未加密纯文本的形式进行存储。 如果计算机或进程遭到入侵，那么不受信任方可访问环境变量。 建议不要使用环境变量来存储生产连接字符串，因为它不是最安全的方法。

配置数据指南：

• 请勿在配置提供程序代码或纯文本配置文件中存储密码或其他敏感数据。
• 不要在开发或测试环境中使用生产机密。
• 请在项目外部指定机密，避免将其意外提交到源代码存储库。

如何使用登录窗体或Windows 身份验证让用户登录到站点（可以选择将其分配给角色）。

• 创建具有用户注册、电子邮件确认和密码重置功能的安全 ASP.NET Web 窗体应用 (C#)
• 创建具有 SMS 双因素身份验证功能的 ASP.NET Web 窗体应用 (C#)