События
Чемпионат мира Power BI DataViz
14 февр., 16 - 31 мар., 16
С 4 шансами войти, вы можете выиграть пакет конференции и сделать его в LIVE Grand Finale в Лас-Вегасе
ПодробнееМатериалы по безопасности в ASP.NET Core
ASP.NET Core позволяет разработчикам настраивать параметры безопасности и управлять ими. В следующем списке приведены ссылки на разделы по безопасности:
- Аутентификация
- Авторизация
- Защита данных
- Применение HTTPS
- Безопасное хранение секретов приложений во время разработки
- Предотвращение XSRF/CSRF
- Общий доступ к ресурсам независимо от источника (CORS)
- Атаки с выполнением межсайтовых сценариев (XSS)
Эти функции обеспечения безопасности позволяют создавать надежные и защищенные приложения ASP.NET Core.
Сведения о Blazor охвате безопасности, который добавляет в этот узел или заменяет инструкции, см. в статье Blazor Core, а также другие статьи в Blazorразделе "Безопасность и Identity узел".
ASP.NET Core предоставляет множество средств и библиотек для защиты приложений ASP.NET Core, таких как встроенные поставщики удостоверений и сторонние службы удостоверений, такие как Facebook, Twitter и LinkedIn. ASP.NET Core предоставляет несколько подходов к хранению секретов приложений.
Проверка подлинности — это процесс, когда пользователь вводит учетные данные, которые затем сравниваются с данными, хранящимися в операционной системе, базе данных, приложении или ресурсе. Если они совпадают, пользователи успешно проходят аутентификацию и после авторизации могут выполнять разрешенные действия. Авторизация представляет собой процесс, определяющий, какие действия может выполнять пользователь.
Если взглянуть на проверку подлинности с другой стороны, ее можно считать способом входа в определенную область, например на сервер, в базу данных, приложение или ресурс, тогда как авторизация определяет, какие действия с какими объектами может выполнять пользователь в этой области (на сервере, в базе данных или приложении).
ASP.NET Core и EF содержат средства, помогающие защитить приложения и предотвратить возникновение нарушений безопасности. Далее приводится список ссылок на документацию с описанием методов, позволяющих устранять наиболее распространенные уязвимости в веб-приложениях:
- Атаки с выполнением межсайтовых сценариев (XSS)
- Атаки путем внедрения кода SQL
- Атаки с межсайтовой подделкой запросов (CSRF)
- Атаки с открытой переадресацией
Существует еще целый ряд уязвимостей, о которых следует знать. Дополнительные сведения см. в других статьях раздела Безопасность и Identity.
Рекомендуется использовать самый безопасный вариант проверки подлинности. Для служб Azure наиболее безопасная проверка подлинности — это управляемые удостоверения.
Избегайте предоставления учетных данных владельца ресурса, так как он:
- Предоставляет клиенту пароль пользователя.
- Значительный риск безопасности.
- Следует использовать только в том случае, если другие потоки проверки подлинности недоступны.
Управляемые удостоверения — это безопасный способ проверки подлинности в службах без необходимости хранить учетные данные в коде, переменных среды или файлах конфигурации. Управляемые удостоверения доступны для служб Azure и могут использоваться с SQL Azure, служба хранилища Azure и другими службами Azure:
- Управляемые удостоверения в Microsoft Entra для SQL Azure
- Управляемые удостоверения для Служба приложений и Функции Azure
- Безопасные потоки проверки подлинности
При развертывании приложения на тестовом сервере переменная среды может использоваться для установки строка подключения на тестовый сервер базы данных. Дополнительные сведения см. в статье Конфигурация. Переменные среды обычно хранятся в простом незашифрованном тексте. Если компьютер или процесс скомпрометированы, переменные среды могут быть доступны ненадежным сторонам. Мы рекомендуем использовать переменные среды для хранения рабочей строка подключения, так как это не самый безопасный подход.
Рекомендации по данным конфигурации:
- Никогда не храните пароли или другие конфиденциальные данные в коде поставщика конфигурации или в файлах конфигурации обычного текста. Хранить секреты во время разработки можно с помощью диспетчера секретов.
- Не используйте секреты рабочей среды в средах разработки и тестирования.
- Указывайте секреты вне проекта, чтобы их нельзя было случайно зафиксировать в репозитории с исходным кодом.
Дополнительные сведения см. в разделе:
- Рекомендации по использованию управляемых удостоверений
- Подключение приложения к ресурсам без обработки учетных данных в коде
- Службы Azure, которые могут использовать управляемые удостоверения для доступа к другим службам
- Рекомендации по обеспечению безопасности IETF OAuth 2.0
Дополнительные сведения о других поставщиках облачных служб см. в статье:
- AWS (Amazon Web Services): AWS служба управления ключами (KMS)
- Обзор Google Cloud служба управления ключами
Рекомендации по созданию надежного, безопасного, производительного, тестового и масштабируемого приложения ASP.NET Core см. в шаблонах веб-приложений Enterprise. Полный пример веб-приложения с высоким качеством рабочей среды, реализующий шаблоны, доступен.
Совместная работа с нами на GitHub
Источник этого содержимого можно найти на GitHub, где также можно создавать и просматривать проблемы и запросы на вытягивание. Дополнительные сведения см. в нашем руководстве для участников.
Отзыв о ASP.NET Core
ASP.NET Core — это проект с открытым исходным кодом. Выберите ссылку, чтобы оставить отзыв:
Дополнительные ресурсы
Обучение
Модуль
Защита веб-приложения .NET с помощью платформы удостоверений ASP.NET Core - Training
Узнайте, как добавить проверку подлинности и авторизацию в веб-приложение .NET с помощью платформы ASP.NET Core Identity.
Сертификация
Продемонстрировать навыки, необходимые для реализации средств управления безопасностью, поддержания состояния безопасности организации и выявления и устранения уязвимостей безопасности.