在ASP.NET中保护/加密连接字符串的最佳做法是什么,而不仅仅是在Web.Config中以纯文本形式存储
答案 0 :(得分:4)
看看Programmatically encrypting a config-file in .NET,它似乎涵盖了这一点。
答案 1 :(得分:3)
您可以将此部分设置为encrypted。
但是,默认加密存在其他人指出的陷阱。您还可以将连接字符串部分设置为指向外部文件,该外部文件将与加密协同工作。这应该解决大多数问题,因为系统管理员可以在那里设置加密,而不会破坏开发人员的web.config中的任何其他内容,并且devloper可以在不撤消sysadmin加密的情况下部署对配置的更改。
答案 2 :(得分:1)
Web.Config内置支持加密连接字符串(和其他数据),但这确实有一些开销,因为加密与服务器绑定,因此加密必须由服务器管理员而不是开发人员设置。
您也可以使用源代码中的加密例程手动加密。
为什么要加密?你是谁在保护自己?黑客可以访问Web配置?不知道prod连接字符串的开发人员?加密背后的原因会稍微改变解决方案。
答案 3 :(得分:0)
最佳实践是使用Windows身份验证(在连接池上有警告)。
如果不这样做,加密连接字符串是一种很好的做法:Keeping secrets in ASP.NET 2.0.
注意:基本方法不适用于Web场。