一尘不染

如何保护web.config中存储的密码?

c#

我在web.config文件中添加了以下设置,以启动对外部系统的API调用。因此,我将如下存储API URL +用户名+密码:

<appSettings>
    <add key="ApiURL" value="https://...../servlets/AssetServlet" />
    <add key="ApiUserName" value="tmsservice" />
    <add key="ApiPassword" value="test2test2" />

然后在我的操作方法中,当构建Web客户端时,我将引用这些值,如下所示:

public ActionResult Create(RackJoin rj, FormCollection formValues)
        {
           XmlDocument doc = new XmlDocument();
           using (var client = new WebClient())
                {
                    var query = HttpUtility.ParseQueryString(string.Empty);
                    foreach (string key in formValues)
                    {
                        query[key] = this.Request.Form[key];
                    }

                    query["username"] = System.Web.Configuration.WebConfigurationManager.AppSettings["ApiUserName"];
                    query["password"] = System.Web.Configuration.WebConfigurationManager.AppSettings["ApiPassword"];

                    string apiurl = System.Web.Configuration.WebConfigurationManager.AppSettings["ApiURL"];

但这是我要公开的用户名和密码,并且可以被用户捕获,所以我的问题是如何保护API用户名和密码?


阅读 366

收藏
2020-05-19

共1个答案

一尘不染

通常,web.config是一个安全文件,IIS不提供该文件,因此不会向向Web服务器发出请求的用户公开。Web服务器仅提供特定类型的文件,而web.config肯定不是em之一。

通常,您将数据库连接字符串保存在其中,其中包括密码。现在想象一下web.config不安全的情况。您对应用程序造成了主要的安全威胁。

因此,特别是只要您的项目不太大,就不必担心它。

但是,您可能有更好的方法,但是创建了一个名为“
Resources”的项目,并在其中保存了所有关键信息,例如设置,const,枚举等。那将是一种巧妙而有组织的方法。

但是,如果您通过网络传递用户名/密码(例如在安全的API调用的情况下),则可能需要使用https来确保对正在传输的信息进行加密,但与密码的安全性无关web.config文件。

2020-05-19