asp.net – 如何保护存储在web.config中的密码?

前端之家收集整理的这篇文章主要介绍了asp.net – 如何保护存储在web.config中的密码?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我在我的web.config文件添加了以下设置,以启动对外部系统的API调用.所以我正在存储API URL用户名密码如下:
<appSettings>
    <add key="ApiURL" value="https://...../servlets/AssetServlet" />
    <add key="ApiUserName" value="tmsservice" />
    <add key="ApiPassword" value="test2test2" />

然后在我的动作方法中,我将在构建Web客户端时引用这些值,如下所示:

public ActionResult Create(RackJoin rj,FormCollection formValues)
        {
XmlDocument doc = new XmlDocument();
using (var client = new WebClient())
                {
                    var query = HttpUtility.ParseQueryString(string.Empty);
                    foreach (string key in formValues)
                    {
                        query[key] = this.Request.Form[key];
                    }

                    query["username"] = System.Web.Configuration.WebConfigurationManager.AppSettings["ApiUserName"];
                    query["password"] = System.Web.Configuration.WebConfigurationManager.AppSettings["ApiPassword"];

                    string apiurl = System.Web.Configuration.WebConfigurationManager.AppSettings["ApiURL"];

但是在这一点上我会暴露用户名和密码,这些可以被用户捕获,所以我的问题是如何保护API用户名和密码?

解决方法

通常,web.config是一个安全文件,IIS不提供服务,因此它不会向向Web服务器发出请求的用户暴露. Web服务器仅提供特定类型的文件,而web.config肯定不是其中的一个.

你经常保存数据库连接字符串,包括密码.现在想像一个web.config不安全的场景.您已经对应用程序造成了重大的安全威胁.

因此,只要你的项目不是太大,你就不用担心了.

然而,您可能有一个更好的方法,但创建一个名为“资源”的项目,并保存所有关键信息,如设置,常量,枚举等.这将是一个光滑和有组织的方法.

如果您通过线路传递用户名/密码(例如在安全的API调用的情况下),则可能需要使用https来确保正在旅行的信息被加密,但与安全无关web.config文件.

猜你在找的asp.Net相关文章