在 web.config 中保存敏感信息

Question

将用户名或密码存储在web.config作为其他参数（例如ASP.NET MVC应用程序中的超时时间）是否安全？ 如果没有，是否可以使这些参数安全，以便它们无法在已发布服务器上的web.config文件中进行编码？ 另一方面，您是否建议将用户名、密码和其他常量参数作为静态值存储在Class (*.cs) 文件中？ 您能否澄清一下哪种方法更好地存储这些参数？

Answer 1

您永远不应该在源代码中存储敏感数据。 您可以使用configSource属性来替换整个<connectionStrings>标记。

<connectionStrings configSource="ConnectionStrings.config">
</connectionStrings>

ConnectionStrings.config应与 Web.config 位于同一文件夹中。 最好保留扩展名 .config，因为 IIS 不提供配置文件。 版本控制系统必须忽略此文件。

https://www.asp.net/identity/overview/features-api/best-practices-for-deploying-passwords-and-other-sensitive-data-to-aspnet-and-azure

Answer 2

检查这些链接：

http://www.4guysfromrolla.com/articles/021506-1.aspx

http://www.aspnettutorials.com/tutorials/advanced/encrypt-conn-str-asp4-cs.aspx

更好的是，不要使用 SQL Server 安全性，而是使用集成安全性，并且只允许您的 Web 应用程序（池）在其下运行的帐户访问数据库。