我正在研究一个asp.net mvc-5 web应用程序。我使用由第三方应用程序生成的安全令牌从我的服务器端调用第三方API。 现在我传递的令牌以安全的方式如下: -使用aspnet_iisreg跨环境web.config加密
- 我将标记添加到http标头。
- 我们正在使用https与第三方系统进行通信。
所以我认为令牌不能在其传输过程中被黑客入侵。但我面临的问题是我如何存储和读取令牌本身。目前我储存这个我们web.config
节内: -
<appSettings>
.....
.....
<add key="SecureToken" value="12345" />
.....
.....
</appSettings>
,我如下检索我的应用程序内的值: -
string Token = System.Web.Configuration.WebConfigurationManager.AppSettings["SecureToken"]
,所以我面临的安全问题是,如果有人访问在线服务器,他可以读取web.config
文件并获取安全令牌。所以我读到我可以使用aspnet_iisreg
命令加密部分web.config部分。但现在我不确定我可以如何强制这个在我的环境中工作?我的意思是我需要在一个environemnt内部运行aspnet_iisreg
让我们说Dev?或者我需要在三个环境中分别运行这个命令?
你能提供更多这方面的信息吗?我部署我的网站使用VS网络部署包... –
所以你的意思是我可以做到以下几点;使用我的开发环境中的VS生成一个web部署包。那么我可以在我们的实时服务器的IIS中部署部署包。在此之后,我可以将实时安全令牌添加到web.config。所以在这种情况下,我应该有一切运作良好,除了令牌存储在web.config中不安全。所以我可以在活服务器上运行aspnet_regiis,它将加密包含安全令牌的web.config部分,这是正确的吗?我可以在我们的暂存服务器上执行相同的操作,在那里我将运行aspnet_regiis ... –
这是一种做法,但如果可能,请避免手动干预,遵循几个步骤更像密钥容器作为具有所需密钥的xml文件可用于加密/解密服务器中的数据并在脚本执行完成后删除xml文件。使用必要的命令编写脚本文件,包括删除xml并在后期构建事件中执行。 http://www.codeproject.com/Articles/877258/How-to-Encrypt-Web-config-Using-aspnet-regiis-exe此网址显示webfarm场景中的加密,您可能需要也可能不需要webfarm,但概念一定会有助于做出更好的决定。 –