Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
ASP.NET Core umožňuje vývojářům konfigurovat a spravovat zabezpečení. Následující seznam obsahuje odkazy na články o práci se zabezpečením v ASP.NET Core:
- Authentication
- Autorizace
- Ochrana dat
- Vynucování HTTPS
- Bezpečné ukládání tajných kódů aplikace při vývoji
- Prevence útoků XSRF a CSRF
- Cross-Origin Resource Sharing (CORS)
- Útoky typu Cross-Site Scripting (XSS)
Tyto funkce zabezpečení umožňují vytvářet robustní a zabezpečené aplikace ASP.NET Core.
Informace o Blazor zabezpečení, které doplňují nebo nahrazují pokyny v tomto uzlu, najdete v článku Ověřování a autorizace v ASP.NET Core Blazor a v dalších článcích v uzlu Zabezpečení a Identity v dokumentaci Blazor.
Funkce zabezpečení ASP.NET Core
ASP.NET Core poskytuje mnoho nástrojů a knihoven pro zabezpečení ASP.NET Core aplikací, jako jsou předdefinované zprostředkovatelé identity a služby identity, které nejsou Microsoft identity, jako jsou Facebook, Twitter a LinkedIn. ASP.NET Core nabízí několik způsobů ukládání tajných kódů aplikací.
Ověřování a autorizace
Ověřování je proces, kdy uživatel poskytuje přihlašovací údaje, které se porovnávají s přihlašovacími údaji uloženými v operačním systému, databázi, aplikaci nebo prostředku. Když se tyto dvě sady přihlašovacích údajů shodují, uživatel se úspěšně ověří. Pak můžou provádět akce, pro které jsou autorizované. Proces autorizace určuje akce, které uživatel může provést.
Dalším způsobem, jak přemýšlet o ověřování, je vnímat ho jako způsob, jak vstoupit do prostoru, přičemž tímto prostorem může být server, databáze, aplikace nebo zdroj. Autorizace definuje , jaké akce může uživatel provádět s objekty v daném prostoru (server, databáze nebo aplikace).
Běžná ohrožení zabezpečení softwaru
ASP.NET Core a Entity Framework obsahují funkce, které vám pomůžou zabezpečit aplikace a zabránit porušení zabezpečení. V následujícím seznamu najdete odkazy na dokumentaci s podrobnými informacemi o způsobech, jak se vyhnout nejběžnějším ohrožením zabezpečení ve webových aplikacích:
- Útoky typu skriptování napříč weby (XSS)
- Dotazy SQL > útoky SQL injection
- Útoky založené na padělání požadavků mezi weby (XSRF/CSRF)
- Útoky založené na otevřeném přesměrování
Existují i další ohrožení zabezpečení, o kterých byste měli vědět. Další informace najdete v dalších článcích v části obsahu Zabezpečení a Identity.
Zabezpečené toky ověřování
Doporučujeme použít nejbezpečnější možnost ověřování. Pro služby Azure je nejbezpečnější ověřování spravované identity.
Nepoužívejte přihlašovací údaje pro heslo vlastníka prostředku (ROPG):
- Zpřístupní heslo uživatele klientovi.
- Jedná se o významné bezpečnostní riziko.
- Použijte ho jenom v případech, kdy jiné toky ověřování nejsou možné.
Spravované identity představují bezpečný způsob ověřování ve službách bez nutnosti ukládat přihlašovací údaje v kódu, proměnných prostředí nebo konfiguračních souborech. Spravované identity jsou k dispozici pro služby Azure a je možné je používat s Azure SQL, Azure Storage a dalšími službami Azure:
- Spravované identity v Microsoft Entra pro Azure SQL
- Spravované identity pro App Service a Azure Functions
- Zabezpečené toky ověřování
Když je aplikace nasazená na testovací server, lze pomocí proměnné prostředí nastavit připojovací řetězec pro testovací databázový server. Další informace najdete v tématu Konfigurace. Proměnné prostředí se běžně ukládají ve formátu prostého a nešifrovaného textu. Pokud dojde k ohrožení zabezpečení počítače nebo procesu, můžou být proměnné prostředí přístupné nedůvěryhodným stranám. Nedoporučujeme používat proměnné prostředí k ukládání produkčního připojovacího řetězce, protože to není nejbezpečnější přístup.
Pokyny pro konfigurační data:
- Nikdy neukládejte hesla ani jiné citlivé údaje v kódu zprostředkovatele konfigurace nebo v textových konfiguračních souborech. K ukládání tajných kódů při vývoji můžete používat nástroj Secret Manager.
- Nepoužívejte produkční tajné kódy ve vývojových nebo testovacích prostředích.
- Tajné kódy zadávejte mimo projekt, aby nemohly být omylem potvrzeny do úložiště zdrojového kódu.
Další informace naleznete v tématu:
- doporučení osvědčených postupů pro spravovanou identitu
- Připojení z aplikace k prostředkům bez zpracování přihlašovacích údajů v kódu
- Služby Azure, které mohou pro přístup k jiným službám používat spravované identity
- Osvědčené postupy zabezpečení IETF OAuth 2.0 (oddíl 2.4: Grant přihlašovacích údajů hesla vlastníka zdroje)
Informace o dalších poskytovatelích cloudu najdete tady:
Vzory podnikových webových aplikací
Pokyny k vytvoření spolehlivé, zabezpečené, výkonné, testovatelné a škálovatelné aplikace ASP.NET Core najdete v vzorech podnikových webových aplikací. K dispozici je kompletní ukázková webová aplikace pro produkční kvalitu, která implementuje vzory.
Související obsah
Spolupracujte s námi na GitHubu
Zdroj tohoto obsahu najdete na GitHubu, kde můžete také vytvářet a kontrolovat problémy a žádosti o přijetí změn. Další informace najdete v našem průvodci pro přispěvatele.
