- 我知道我可以加密我的 web.config 部分以保护敏感数据。
- 我知道机器密钥用于加密/解密部分。
- 我知道我在一个网络场中托管,所以我的机器密钥需要是粘性的。
但我认为我没有抓住重点。如果我将机器密钥放在 web.config 中,并将加密部分放在 web.config 中,那么这如何安全?当然,这充其量只是混淆?
我的场景:
我们正在构建托管在云中、内部开发和管理的 Web 应用程序。需要保护敏感密钥的原因是我们有允许使用第三方工具(例如 ESP、云存储等)的设置。这些在 web.release.config 转换中公开可见,开发人员可以自由连接到产品服务,从而打开风险元素。
如果你能填补我逻辑上的空白,那就太好了。但我真正追求的是针对我的问题的最佳实践解决方案的建议。
我会根据要求添加更多信息。