1. 首页
  2. 问答
  3. 如何在不使用应用程序服务的应用程序设置的情况下保护Azure客户端ID和秘密

如何在不使用应用程序服务的应用程序设置的情况下保护Azure客户端ID和秘密

2017-06-29 91 views
2

我正在使用Azure KeyVault来存储我的数据库凭据,现在可以访问它了我在服务代码中硬编码了客户端ID和客户端密钥。 如何避免这种硬编码的不安全性?如何在不使用应用程序服务的应用程序设置的情况下保护Azure客户端ID和秘密

1) I don't want to store client id and client secret in certificates, as 
deployed certificates are again insecure 
2) My app is not hosted on Azure App service, so I can't use App Settings to 
store client id and client secret.

有没有一种方法,使Azure中的Active Directory返回访问令牌只有在 请求从我的应用程序的网址发? else 如何保护客户端ID和客户端机密免受黑客攻击

来源

2017-06-29 Chinta Sai Vamshi

回答

0

您可以将客户端ID和秘密保存在可以受共享访问签名(SAS)保护的azure blob中。但是,这只会创建另一个密钥来保护您当前的密钥(KeyVault),如果服务器端的应用程序/代码被黑掉了,那么我恐怕没有100%的安全方式来保护它。

来源

2017-06-30 06:30:57

0

使用客户端ID和客户端密钥来保护Key Vault只是意味着您现在有了一个新的秘密,以尝试以某种方式获得安全保护。更好的方法是使用证书访问密钥库。您现在拥有额外的安全性,因为您需要证书的私钥才能将其安装到您的应用程序中。

来源

2017-09-06 07:10:39

相关问题

 相关问题