我继承了这段代码,用于使用基于声明的身份验证调用 WCF 服务(这只是创建绑定,但你得到了图片):
UserNameWSTrustBinding binding = new UserNameWSTrustBinding(SecurityMode.TransportWithMessageCredential);
WSTrustChannelFactory trustChannelFactory = new WSTrustChannelFactory(binding, new EndpointAddress(Endpoint));
trustChannelFactory.TrustVersion = TrustVersion.WSTrust13;
trustChannelFactory.Credentials.SupportInteractive = false;
trustChannelFactory.Credentials.UserName.UserName = ConfigurationManager.AppSettings["UserName"];;
trustChannelFactory.Credentials.UserName.Password = ConfigurationManager.AppSettings["Password"];
我知道 web.config 中的 appsettings 可以加密,我只是想知道最好的做法是什么。
由于只有原设计者知道的原因,该网站是一个混合的内部/外部站点,换句话说,有些部分暴露在互联网上,有些部分只是内部的。
不幸的是,尽管使用上述绑定的部分位于内部“站点”上,因此只能由内部用户访问,但我们被告知我们需要对设计进行未来验证,这意味着内部站点的某些部分可以在未经身份验证的用户访问互联网,因此决定将凭据存储在 web.config 中。
这样做有什么风险?
应该怎么做?
TIA