从ASP.NET Core连接到SQL Server的最佳实践？

您似乎在这里遇到的真正问题是不希望(正确地)以纯文本形式公开登录凭据.我不知道为什么你在这里继续引用Web.config,因为ASP.NET Core没有使用它.相反,可以选择使用各种配置提供程序.默认情况下,ASP.NET Core(至少从2.0开始)添加了一个JSON配置提供程序,用于在项目中查找appsettings.json和appsettings.{environment} .json,命令行配置提供程序,用户机密配置提供程序,以及最后是环境变量配置提供程序.

最后两个对你的情况最有意思.在开发中,您应该使用用户机密.在生产中,您应该使用环境变量.但是,两者都不以加密的方式存储秘密.这两种方法的好处是秘密不在您的项目中,因此也不在您的源代码管理中.尽管两者都没有加密,但它并不像你想象的那么大.在任何一个中获取秘密都需要直接访问服务器/开发机器.此外,用户机密默认绑定到特定用户帐户,只能由该用户访问,并且环境变量可以以相同的方式设置.因此,有人需要获得对计算机的访问权并获得对特定帐户的访问权限.这实际上是一个相当高的标准,如果它发生,那么暴露数据库密码实际上是你最不关心的问题.

但是,如果您需要真正的加密,则可以选择使用Azure KeyVault.无论您的应用程序是否实际托管在Azure中,都可以使用KeyVault,虽然它不是免费的,但它非常便宜.

最后,您始终可以创建自己的配置提供程序或源第三方配置提供程序.例如,虽然默认的JSON提供程序不支持加密,但您可能会写一个.