Keamanan, Autentikasi, dan Otorisasi dalam Formulir Web ASP.NET

Sebaiknya gunakan opsi autentikasi aman yang paling aman. Untuk aplikasi .NET yang disebarkan ke Azure, lihat:

• Pustaka Azure Key Vault untuk .NET
• Integrasi .NET Aspire Azure Key Vault

Azure Key Vault dan .NET Aspire menyediakan cara paling aman untuk menyimpan dan mengambil rahasia. Azure Key Vault adalah layanan awan yang melindungi kunci enkripsi dan rahasia seperti sertifikat, string koneksi, dan kata sandi. Untuk .NET Aspire, lihat Mengamankan komunikasi antara hosting dan integrasi klien.

Hindari Pemberian Kredensial Kata Sandi Pemilik Sumber Daya karena:

• Mengekspos kata sandi pengguna ke klien.
• Adalah risiko keamanan yang signifikan.
• Hanya boleh digunakan ketika alur autentikasi lain tidak dimungkinkan.

Saat aplikasi disebarkan ke server pengujian, variabel lingkungan dapat digunakan untuk mengatur string koneksi ke server database pengujian. Variabel lingkungan umumnya disimpan dalam teks biasa dan tidak terenkripsi. Jika mesin atau proses disusupi, variabel lingkungan dapat diakses oleh pihak yang tidak tepercaya. Sebaiknya jangan gunakan variabel lingkungan untuk menyimpan string koneksi produksi karena ini bukan pendekatan yang paling aman.

Panduan data konfigurasi:

• Jangan pernah menyimpan kata sandi atau data sensitif lainnya dalam kode penyedia konfigurasi atau dalam file konfigurasi teks biasa.
• Jangan gunakan rahasia produksi di lingkungan pengembangan atau pengujian.
• Tentukan rahasia di luar proyek sehingga tidak dapat diterapkan secara tidak sengaja ke repositori kode sumber.

Cara mengizinkan pengguna untuk masuk ke situs Anda (dan secara opsional ditetapkan ke peran) menggunakan formulir masuk atau autentikasi Windows.

• Membuat aplikasi ASP.NET Web Forms yang aman dengan pendaftaran pengguna, konfirmasi email, dan reset kata sandi (C#)
• Membuat aplikasi ASP.NET Web Forms dengan SMS Two-Factor Authentication (C#)