我正在开发一个.NET MVC Web应用程序并使用Google服务帐户在用户个人日历上创建/删除日历事件。我不确定什么是保护我的Google身份验证密钥的最佳方法,以便只有我的程序才能访问它。目前它只是在解决方案文件夹中用于测试目的。
答案 0 :(得分:0)
“最好”是主观的。我可以告诉你的是选项:
将其作为应用程序设置放入Web.config中,然后加密appSettings配置部分。如果不是最方便的话,这可能是最安全的路线。
将其放入您的代码中。开发人员创建一个包含应用程序所需的各种信息的静态Settings类并不罕见。但是,这意味着它将是源中的纯文本。如果您计划开源代码或将其存储在其他人可访问的地方(包括实际上无法访问它的恶意其他人),那真的只是一个问题。例如,我建议仅将内容放在防火墙后面的TFS或Git服务器上,而不是放在互联网上或面向公众的东西上。代码编译完成后,你显然不会再用纯文本了。但是,如果有人获得对已编译代码的访问权限,他们仍然可以对其进行反编译并可能找到该字符串。为了防止这种情况发生,你可以使用任意数量的混淆程序。