只是好奇从 asp.net Web 应用程序管理数据库访问的最佳实践。我们目前将用户名和密码放在 web.config 中,但这在内部安全性方面不够好(显然),所以我决定通过修改 web.config 来使用 windows 域来使用 windows 域用户,然后将用户添加到应用程序池标识。这一切都很好,但是当域用户的密码更改时会发生什么?这是否意味着在应用程序池中使用此用户身份的所有 Web 应用程序也需要更改密码?这将是一场 IT 噩梦。是否有人对允许 webapp 在不暴露密码的情况下访问数据库的最佳方法提出建议,并且如果密码更改,则无需在所有 webapps 中更新密码?谢谢
问问题
1160 次
2 回答
1
更好的解决方案是设置一个单独的应用程序池,该应用程序池设置有一个对数据库具有完全访问权限的服务帐户,在选择新的应用程序池并使用集成安全性后重新启动 Web 应用程序。
使用非常强(且冗长)的密码并将帐户设置为密码不会过期且用户无法更改密码。
这可以防止在 web.config 文件中使用明文。
于 2013-03-06T03:40:48.503 回答
0
我建议您使用 SQL 混合模式身份验证并为您的应用程序使用 SQL 帐户。web.config 中的用户名和密码并加密配置文件的该部分。
以下是有关配置加密的一些信息。
http://msdn.microsoft.com/en-us/library/zhhddkxy(v=vs.100).aspx
于 2013-03-06T01:34:33.653 回答