開始使用 ASP.NET Identity

ASP.NET 身分識別系統的設計目的是取代先前 ASP.NET 成員資格和簡單成員資格系統。 其中包含配置檔支援、OAuth整合、可與 OWIN 搭配運作，且隨附於 Visual Studio 2013 隨附的 ASP.NET 範本。

我們建議使用最安全的驗證選項。 如需部署至 Azure 的 .NET 應用程式，請參閱：

• 適用於 .NET 的 Azure Key Vault 連結庫
• .NET Aspire Azure Key Vault 集成

Azure Key Vault 和 .NET Aspire 提供最安全的方式來儲存和擷取秘密。 Azure Key Vault 是一項雲端服務，可保護加密密鑰和秘密，例如憑證、連接字串和密碼。 如需 .NET Aspire，請參閱 主機與用戶端整合之間的安全通訊。

請避免資源擁有者密碼認證授與，因為它：

• 將使用者的密碼公開給用戶端。
• 這是一個重大的安全性風險。
• 只有在無法執行其他驗證流程時，才應該使用。

當應用程式部署至測試伺服器時，環境變數可用來將連接字串設定為測試資料庫伺服器。 環境變數通常會以純文字、未加密的文字儲存。 如果計算機或進程遭到入侵，則不受信任的合作物件可以存取環境變數。 建議您不要使用環境變數來儲存生產連接字串，因為它不是最安全的方法。

設定資料指導方針：

• 請勿將密碼或其他敏感數據儲存在組態提供者程式代碼或純文本組態檔中。
• 請勿在開發或測試環境中使用生產秘密。
• 指定專案外部的密碼，以避免不小心提交到原始碼庫中。

• ASP.NET Identity 簡介
• ASP.NET Identity 建議資源
• 將 ASP.NET Identity 新增至空的或現有的 Web Form 專案
• 使用 Azure Active Dirctory 開發 ASP.NET 應用程式
• ASP.NET Identity： 使用具 EntityFramework MySQL 提供者的 MySQL 儲存體 (C#)