Bagikan melalui


Topik keamanan ASP.NET Core

ASP.NET Core memungkinkan pengembang untuk mengkonfigurasi dan mengelola keamanan. Daftar berikut menyediakan tautan ke topik keamanan:

Fitur keamanan ini memungkinkan Anda membuat aplikasi ASP.NET Core yang kuat dan aman.

Untuk Blazor cakupan keamanan, yang menambahkan atau menggantikan panduan dalam simpul ini, lihat ASP.NET autentikasi dan otorisasi Core Blazor dan artikel lain dalam BlazorKeamanan dan Identity simpul.

Fitur keamanan ASP.NET Core

ASP.NET Core menyediakan banyak alat dan pustaka untuk mengamankan aplikasi ASP.NET Core seperti penyedia bawaan identity dan layanan pihak identity ketiga seperti Facebook, Twitter, dan LinkedIn. ASP.NET Core menyediakan beberapa pendekatan untuk menyimpan rahasia aplikasi.

Autentikasi vs. Otorisasi

Autentikasi adalah proses di mana pengguna memberikan mandat yang kemudian dibandingkan dengan mandat yang disimpan di sistem operasi, database, aplikasi, atau sumber daya. Jika cocok, pengguna berhasil mengautentikasi, dan kemudian dapat melakukan tindakan yang mereka otorisasi, selama proses otorisasi. Otorisasi mengacu pada proses yang menentukan apa yang boleh dilakukan oleh pengguna.

Autentikasi dapat dianggap sebagai cara untuk memasuki ruang, seperti server, database, aplikasi, atau sumber daya, sedangkan otorisasi adalah tindakan yang dapat dilakukan pengguna terhadap objek di dalam ruang tersebut (server, database, atau aplikasi).

Kerentanan Umum dalam perangkat lunak

ASP.NET Core dan EF berisi fitur yang membantu Anda mengamankan aplikasi dan mencegah pelanggaran keamanan. Daftar tautan berikut membawa Anda ke teknik perincian dokumentasi untuk menghindari kerentanan keamanan paling umum di aplikasi web:

Ada lebih banyak kerentanan yang harus Anda waspadai. Untuk informasi lebih lanjut, lihat artikel lainnya di bagian Keamanan dan Identity dari daftar isi.

Alur autentikasi aman

Sebaiknya gunakan opsi autentikasi aman yang paling aman. Untuk layanan Azure, autentikasi yang paling aman adalah identitas terkelola.

Hindari Pemberian Kredensial Kata Sandi Pemilik Sumber Daya karena:

  • Mengekspos kata sandi pengguna ke klien.
  • Adalah risiko keamanan yang signifikan.
  • Hanya boleh digunakan ketika alur autentikasi lain tidak dimungkinkan.

Identitas terkelola adalah cara aman untuk mengautentikasi ke layanan tanpa perlu menyimpan kredensial dalam kode, variabel lingkungan, atau file konfigurasi. Identitas terkelola tersedia untuk layanan Azure, dan dapat digunakan dengan Azure SQL, Azure Storage, dan layanan Azure lainnya:

Saat aplikasi disebarkan ke server pengujian, variabel lingkungan dapat digunakan untuk mengatur string koneksi ke server database pengujian. Untuk informasi lebih lanjut, lihat Konfigurasi. Variabel lingkungan umumnya disimpan dalam teks biasa dan tidak terenkripsi. Jika mesin atau proses disusupi, variabel lingkungan dapat diakses oleh pihak yang tidak tepercaya. Sebaiknya variabel lingkungan tidak digunakan untuk menyimpan string koneksi produksi karena bukan pendekatan yang paling aman.

Untuk informasi selengkapnya, lihat:

Untuk informasi tentang penyedia cloud lainnya, lihat:

Sumber Daya Tambahan: