.net – 将敏感信息放在Web.config文件中是不好的做法？

概述为了使管理员能够轻松修改用户在我的ASP .NET MVC Web应用程序中被授权的组,我将组名作为appSettings放在我的Web.config中. <add key="User" value="VDP ICMD Users"/><add key="SuperUser" value="VDP ICMD Super Users"/><add key="Administrator" valu 为了使管理员能够轻松修改用户在我的ASP .NET MVC Web应用程序中被授权的组,我将组名作为appSettings放在我的Web.config中.

<add key="User" value="VDP ICMD Users"/><add key="SuperUser" value="VDP ICMD Super Users"/><add key="administrator" value="VDP ICMD administrator"/>

与实际Active Directory组名称相关的值.然后在我的控制器中,使用我的自定义AuthorizeAttribute,我可以简单地写

[AuthorizeAD(GroupKeys = "User")]

我的问题是,将组名等敏感信息放在Web.config文件中可以轻松更改是不好的做法吗？除了登录服务器本身之外,有人可以轻松访问Web.config文件吗？

解决方法 如果访问web.config很容易,则取决于您的基础结构和安全策略.它不是一个可浏览的文件,所以如果有人想窃取web.config需要进入你的服务器. (另一个选择是ASP.NET流程中现有的或未来的安全漏洞,它发生在之前,但我们希望这是不太可能的情况).

存储尽可能不那么敏感的信息是一种很好的做法,但实际上很难没有任何东西.

您可以加密配置文件中的敏感信息. Here你有一个walktrough解释如何做到这一点.

总结

以上是内存溢出为你收集整理的.net – 将敏感信息放在Web.config文件中是不好的做法？全部内容，希望文章能够帮你解决.net – 将敏感信息放在Web.config文件中是不好的做法？所遇到的程序开发问题。

如果觉得内存溢出网站内容还不错，欢迎将内存溢出网站推荐给程序员好友。