asp.net – 如何保护存储在web.config中的密码？

发布时间：2020-12-15 23:48:55 所属栏目：asp.Net 来源：网络整理

导读：我在我的web.config文件中添加了以下设置,以启动对外部系统的API调用.所以我正在存储API URL用户名密码如下： appSettings add key="ApiURL" value="https://...../servlets/AssetServlet" / add key="ApiUserName" value="tmsservice" / add key="ApiPasswo

我在我的web.config文件中添加了以下设置,以启动对外部系统的API调用.所以我正在存储API URL用户名密码如下：

<appSettings>
    <add key="ApiURL" value="https://...../servlets/AssetServlet" />
    <add key="ApiUserName" value="tmsservice" />
    <add key="ApiPassword" value="test2test2" />

然后在我的动作方法中,我将在构建Web客户端时引用这些值,如下所示：

public ActionResult Create(RackJoin rj,FormCollection formValues)
        {
XmlDocument doc = new XmlDocument();
using (var client = new WebClient())
                {
                    var query = HttpUtility.ParseQueryString(string.Empty);
                    foreach (string key in formValues)
                    {
                        query[key] = this.Request.Form[key];
                    }

                    query["username"] = System.Web.Configuration.WebConfigurationManager.AppSettings["ApiUserName"];
                    query["password"] = System.Web.Configuration.WebConfigurationManager.AppSettings["ApiPassword"];

                    string apiurl = System.Web.Configuration.WebConfigurationManager.AppSettings["ApiURL"];

但是在这一点上我会暴露用户名和密码,这些可以被用户捕获,所以我的问题是如何保护API用户名和密码？

解决方法

通常,web.config是一个安全文件,IIS不提供服务,因此它不会向向Web服务器发出请求的用户暴露. Web服务器仅提供特定类型的文件,而web.config肯定不是其中的一个.

你经常保存数据库连接字符串,包括密码.现在想像一个web.config不安全的场景.您已经对应用程序造成了重大的安全威胁.

因此,只要你的项目不是太大,你就不用担心了.

然而,您可能有一个更好的方法,但创建一个名为“资源”的项目,并保存所有关键信息,如设置,常量,枚举等.这将是一个光滑和有组织的方法.

如果您通过线路传递用户名/密码(例如在安全的API调用的情况下),则可能需要使用https来确保正在旅行的信息被加密,但与安全无关web.config文件.

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!