【问题标题】:What is best practice for dealing with passwords and configuration files?处理密码和配置文件的最佳实践是什么?
【发布时间】:2011-03-21 12:09:43
【问题描述】:

我正在编写一个需要访问多个不同数据库的内部业务应用程序。每个数据库都需要不同的密码。我讨厌实际上对我的密码进行硬编码,因为如果它们改变了,那么我将永远不得不在我的代码中修改它们。更不用说在这种情况下没有任何安全尝试!

我正在考虑将密码存储在服务器上的配置文件中。处理该问题的一种方法可能是以纯文本形式存储密码并依靠服务器不允许人们查看文件。同样,我真的不喜欢这种情况,因为我不知道谁有权/没有访问服务器。

在配置文件或代码中处理密码的“最佳实践”是什么?

【问题讨论】:

  • 最佳做法是使用 Windows 身份验证

标签: c# security passwords


【解决方案1】:

如果您使用 Windows 并且位于 Active Directory 域中,最佳做法是为数据库访问、网站、Windows 服务等创建具有正确权限的特定域帐户。

确保已为这些帐户设置了具有正确权限的服务器。

使用已设置的帐户启动业务应用程序。您可以为此使用runas。使用 SSPI (windows auth) 将不同的连接字符串存储在配置文件中 - 不再需要在配置中存储用户名和密码。

【讨论】:

    【解决方案2】:

    您可以在您的配置文件中encrypt sections 包含密码等敏感数据。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2010-10-15
      • 1970-01-01
      • 2012-03-22
      • 1970-01-01
      • 2011-01-24
      • 2021-09-04
      • 2017-04-20
      • 2019-07-12
      相关资源
      最近更新 更多