Bagikan melalui

Mulai menggunakan identitas ASP.NET

Sistem identitas ASP.NET dirancang untuk menggantikan sistem Keanggotaan ASP.NET dan Keanggotaan Sederhana sebelumnya. Ini termasuk dukungan profil, integrasi OAuth, bekerja dengan OWIN, dan disertakan dengan templat ASP.NET yang dikirim dengan Visual Studio 2013.

Sebaiknya gunakan opsi autentikasi aman yang paling aman. Untuk aplikasi .NET yang disebarkan ke Azure, lihat:

Azure Key Vault dan .NET Aspire menyediakan cara paling aman untuk menyimpan dan mengambil rahasia. Azure Key Vault adalah layanan cloud yang melindungi kunci enkripsi dan rahasia seperti sertifikat, string koneksi, dan kata sandi. Untuk .NET Aspire, lihat komunikasi aman antara integrasi klien dan hosting.

Hindari Pemberian Kredensial Kata Sandi Pemilik Sumber Daya karena:

  • Mengekspos kata sandi pengguna ke klien.
  • Adalah risiko keamanan yang signifikan.
  • Hanya boleh digunakan ketika alur autentikasi lain tidak dimungkinkan.

Saat aplikasi disebarkan ke server pengujian, variabel lingkungan dapat digunakan untuk mengatur string koneksi ke server database pengujian. Variabel lingkungan umumnya disimpan dalam teks biasa dan tidak terenkripsi. Jika mesin atau proses disusupi, variabel lingkungan dapat diakses oleh pihak yang tidak tepercaya. Sebaiknya jangan gunakan variabel lingkungan untuk menyimpan string koneksi produksi karena ini bukan pendekatan yang paling aman.

Panduan data konfigurasi:

  • Jangan pernah menyimpan kata sandi atau data sensitif lainnya dalam kode penyedia konfigurasi atau dalam file konfigurasi teks biasa.
  • Jangan gunakan rahasia produksi di lingkungan pengembangan atau pengujian.
  • Tentukan rahasia di luar proyek sehingga tidak dapat diterapkan secara tidak sengaja ke repositori kode sumber.