安全存储敏感配置数据，如连接字符串

Question

什么是存储和使用敏感配置信息（如连接字符串）的最佳方式。我曾经将它们存储在app.config，web.config中，现在以config.json作为纯文本存储。这是不安全的，特别是在将这些文件检入公共可用的源代码控制时。什么是最安全的方式来存储这种类型的数据，并在应用程序内使用？

Answer 1

经过几次尝试之后，我发现的最佳解决方案是在Windows系统上使用环境变量。不确定一旦我部署到Azure后，这种方式将如何工作，但现在它按预期工作。在我的ASP.NET核心在Startup.cs我添加AddEnvironmentVariables：

public Startup(IHostingEnvironment appEnv) 
    { 
     var builder = new ConfigurationBuilder() 
      .SetBasePath(appEnv.ContentRootPath) 
      .AddJsonFile("config.json") 
      .AddEnvironmentVariables(); 


     Configuration = builder.Build(); 
    } 

这里是连接字符串：

来使用它：

string connStr= Startup.Configuration["Data:WorldContextConnection"]; 

在这种我可以检查每个文件到GitHub中，唯一的情况是我需要总是将这些环境变量添加到我将要处理的系统中。

Answer 2

特别是在将这些文件检查为公开可用的源代码管理时。

不这样做。

这就是正好把你的秘密设置放在配置文件中，因为你不想与世界分享它们。把它们放在机器上的文件上是完全正确的 - 人们会期望使用你的软件的人已经将他们的机器固定在某个点上。

如果你不能信任你的用户，那么你需要存储您机器上的配置，给用户一个访问令牌（比如用户名和密码，或使用OAuth凭证），他们可以用它来说话给你，然后你保持配置安全和秘密。