authentication - 是否必须使用 Secret Manager 来存储 Microsoft 外部登录 ClientId 和 ClientSecret
问题描述
我已按照 Microsoft为 ASP.Net Core 设置 Microsoft 外部登录的说明进行操作,但我已将客户端 ID 和客户端密码直接粘贴到代码的 Startup.cs 中。一切正常,但我担心安全性。这是不好的做法/不推荐吗?还是我一定要使用Secret Manager并从那里引用它们?
解决方案
我已经研究并在这里找到了答案:来源
不,这不是强制性的,而是strongly recommended
出于安全目的。
Microsoft 建议使用Never store passwords or other sensitive data in source code
,这是常识,但此资源作为一个整体包含客户端 ID 和机密。
此外,该资源提到要用于的 Secret Manager Development purposes only
。可以在 Azure Key Vault 中存储 Microsoft 应用程序 ID(客户端 ID)和用于生产的机密(如果您愿意,也可以进行开发)。
推荐阅读
- python - Python - 列表格式不正确
- python - 将 flask_cors 模块导入 Flask App 的问题
- oracle - 如何单独使用 V$LOCK 和 V$SESSION 表在 Oracle 12C 中找到锁定表及其行
- vue.js - Vue.js 过滤器在本地工作,但不在服务器上
- python-3.x - 如何使用sql数据库在python中自动登录?
- unity3d - 用手指在 x 轴 3d 上移动对象
- firebase - 如何从 FCM 获取全屏通知?
- swiftui - 订阅 SwiftUI 视图到组合发布者的每次更新
- amazon-web-services - 使用 CDK 创建没有 NAT 网关的 AWS RDS 实例
- python - 将多个预处理步骤应用于 sklearn 管道中的列