如何保护web.config中存储的密码?

我在web.config文件中添加了以下设置,以启动对外部系统的API调用。因此,我将如下存储API URL +用户名+密码:

<appSettings>

<add key="ApiURL" value="https://...../servlets/AssetServlet" />

<add key="ApiUserName" value="tmsservice" />

<add key="ApiPassword" value="test2test2" />

然后在我的操作方法中,当构建Web客户端时,我将引用这些值,如下所示:

public ActionResult Create(RackJoin rj, FormCollection formValues)

{

XmlDocument doc = new XmlDocument();

using (var client = new WebClient())

{

var query = HttpUtility.ParseQueryString(string.Empty);

foreach (string key in formValues)

{

query[key] = this.Request.Form[key];

}

query["username"] = System.Web.Configuration.WebConfigurationManager.AppSettings["ApiUserName"];

query["password"] = System.Web.Configuration.WebConfigurationManager.AppSettings["ApiPassword"];

string apiurl = System.Web.Configuration.WebConfigurationManager.AppSettings["ApiURL"];

但这是我要公开的用户名和密码,并且可以被用户捕获,所以我的问题是如何保护API用户名和密码?

回答:

通常,web.config是一个安全文件,IIS不提供该文件,因此不会向向Web服务器发出请求的用户公开。Web服务器仅提供特定类型的文件,而web.config肯定不是em之一。

通常,您将数据库连接字符串保存在其中,其中包括密码。现在想象一下web.config不安全的情况。您对应用程序造成了主要的安全威胁。

因此,特别是只要您的项目不太大,就不必担心它。

但是,您可能有更好的方法,但是创建了一个名为“

Resources”的项目,并在其中保存了所有关键信息,例如设置,const,枚举等。那将是一种巧妙而有组织的方法。

但是,如果您通过网络传递用户名/密码(例如在安全的API调用的情况下),则可能需要使用https来确保对正在传输的信息进行加密,但与密码的安全性无关web.config文件。

以上是 如何保护web.config中存储的密码? 的全部内容, 来源链接: utcz.com/qa/401233.html

回到顶部