我在我的web.config文件中添加了以下设置,以启动对外部系统的API调用.所以我正在存储API URL用户名密码如下:
<appSettings>
<add key="ApiURL" value="https://...../servlets/AssetServlet" />
<add key="ApiUserName" value="tmsservice" />
<add key="ApiPassword" value="test2test2" />
然后在我的动作方法中,我将在构建Web客户端时引用这些值,如下所示:
public ActionResult Create(RackJoin rj,FormCollection formValues)
{
XmlDocument doc = new XmlDocument();
using (var client = new WebClient())
{
var query = HttpUtility.ParseQueryString(string.Empty);
foreach (string key in formValues)
{
query[key] = this.Request.Form[key];
}
query["username"] = System.Web.Configuration.WebConfigurationManager.AppSettings["ApiUserName"];
query["password"] = System.Web.Configuration.WebConfigurationManager.AppSettings["ApiPassword"];
string apiurl = System.Web.Configuration.WebConfigurationManager.AppSettings["ApiURL"];
解决方法
通常,web.config是一个安全文件,IIS不提供服务,因此它不会向向Web服务器发出请求的用户暴露. Web服务器仅提供特定类型的文件,而web.config肯定不是其中的一个.
你经常保存数据库连接字符串,包括密码.现在想像一个web.config不安全的场景.您已经对应用程序造成了重大的安全威胁.
因此,只要你的项目不是太大,你就不用担心了.
然而,您可能有一个更好的方法,但创建一个名为“资源”的项目,并保存所有关键信息,如设置,常量,枚举等.这将是一个光滑和有组织的方法.
如果您通过线路传递用户名/密码(例如在安全的API调用的情况下),则可能需要使用https来确保正在旅行的信息被加密,但与安全无关web.config文件.
