[英]ASP.Net MVC Web App can I / should I securely store 3rd party login details
我们有一个ASP.Net Web应用程序,使用标准的“个人用户帐户”登录。
根据用户登录名,在将Web应用程序登录名映射到所需的Web Service登录名之后,他们也将登录到Web Service中。 它不是一对一映射的登录名,用户可以选择访问许多可用的Web服务中的任何一个。
即
管理模块应允许将Web App登录分配为Web Service登录。
对于概念验证,我们在Web应用程序中嵌入了一些Web服务登录详细信息。 这显然是不安全的,我们需要将Web Service登录详细信息安全地存储在SQL Server表中以某种方式加密的某个位置吗? 在WebConfig中加密?
安全地存储和检索映射的登录详细信息的最佳方法是什么? 还是执行此两步登录逻辑的更好方法?
永远不要以可逆格式存储登录详细信息(可以完全解密)。
如果登录详细信息是服务器可逆的,那么黑客将能够在成功窃取数据库后执行相同的操作来检索每个人的登录信息。
您自己网站的登录信息应以一种哈希+加盐的方式存储。 没有理由为第三方网站使用较低级别的安全性。
具有访问权限的OAuth应该是您问题的答案,因为它不需要用户为您的网站授予对第三方网站的完全访问权限。 您的网站遭到入侵后,第3方网站的登录信息将完全不受影响。 用户可以断开链接,以防止进一步损害其第三方网站的帐户,而无需等待管理员操作。
我如何验证第三方用户访问我的Web API asp.net?
[英]how do i authenticate 3rd party user to access my web API asp.net?
如何 go 关于它:从 Microsoft Dynamics 365 CRM 同步/导出帐户数据并在第 3 方 web 应用程序中显示? 使用 WS 和 ASP.NET MVC/C#
[英]How to go about it: sync/export data for Accounts from Microsoft Dynamics 365 CRM and show it in a 3rd party web app? Using WS and ASP.NET MVC/C#
从ASP.Net MVC控制器中的第三方API返回JSON字符串
[英]Returning JSON string from 3rd party API in ASP.Net MVC controller
ASP.NET MVC 5:如何从 3rd 方库中禁用自定义错误页面
[英]ASP.NET MVC 5: How to disable custom error page from 3rd party library
在 ASP.NET MVC 中重定向到第 3 方 URL 后如何维护会话?
[英]How to maintain session after redirection to 3rd party URL in ASP.NET MVC?
在ASP.NET MVC中管理对第三方应用程序的共享API调用的最佳场所
[英]Best Place to manage shared API calls to 3rd party application inside my asp.net mvc
如何在第三方ASP.NET Web API客户端中使用Oauth生成的令牌?
[英]How to use an Oauth Generated Token in a 3rd party asp.net web API client?
如何在asp.net core web api中实现JWT Refresh Tokens(没有第三方)?
[英]How to implement JWT Refresh Tokens in asp.net core web api (no 3rd party)?
ASP.NET 核心 Web API - 如何使用第 3 方 API 基于条件
[英]ASP.NET Core Web API - How to Consume 3rd party API Based on Condition
ASP.NET Core Web API - 如何使用 HttpClient 使用 3rd 方 API
[英]ASP.NET Core Web API - How to Consume 3rd party API using HttpClient
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
