ASP.NET Web Form 中的安全性、驗證和授權

我們建議使用最安全的驗證選項。 如需部署至 Azure 的 .NET 應用程式，請參閱：

• 適用於 .NET 的 Azure 金鑰保存庫 連結庫
• .NET Aspire Azure 金鑰保存庫 整合

Azure 金鑰保存庫 和 .NET Aspire 提供最安全的方式來儲存和擷取秘密。 Azure Key Vault 這項雲端服務可用來保護加密金鑰和秘密 (例如憑證、連接字串和密碼)。 如需 .NET Aspire，請參閱 保護裝載與用戶端整合之間的通訊。

避免資源擁有者密碼認證授與，因為它會：

• 將使用者的密碼公開給用戶端。
• 這是個重大的安全性風險。
• 只有在無法執行其他驗證流程時，才應該使用。

將應用程式部署到測試伺服器時，可以使用環境變數將連接字串設定為測試資料庫伺服器。 環境變數通常會以純文字、未加密的文字儲存。 如果電腦或流程遭到入侵，則不受信任的合作對象可以存取環境變數。 我們建議不要使用環境變數來儲存生產 連接字串，因為它不是最安全的方法。

設定資料方針：

• 永遠不要將密碼或其他敏感性資料儲存在設定提供者程式碼或純文字設定檔中。
• 不要在開發或測試環境中使用生產環境祕密。
• 請在專案外部指定祕密，以防止其意外認可至開放原始碼存放庫。

如何使用登入表單或 Windows 驗證 讓使用者登入您的網站（並選擇性地指派給角色）。

• 以使用者註冊、電子郵件確認和密碼重設建立安全的 ASP.NET Web Form 應用程式 (C#)
• 使用 SMS 雙因素驗證建立 ASP.NET Web Form 應用程式 (C#)