Juste curieux quant aux meilleures pratiques pour gérer l'accès db à partir d'une application web asp.net. Nous étions en train de mettre le nom d'utilisateur et le mot de passe dans le web.config, mais la sécurité interne n'était pas suffisante (évidemment), donc j'ai décidé d'utiliser un utilisateur de domaine Windows en modifiant le web.config pour utiliser le domaine windows, puis ajouter l'utilisateur à l'identité du pool d'applications. Tout fonctionne correctement, mais que se passe-t-il lorsque le mot de passe de l'utilisateur du domaine change? Cela signifie-t-il que toutes les applications Web qui utilisent l'identité de cet utilisateur dans le pool d'applications nécessiteront également le changement de mot de passe? Ce serait un cauchemar informatique. Quelqu'un at-il des suggestions sur la meilleure approche pour permettre webapp accéder à la base de données sans exposer le mot de passe et sans avoir à mettre à jour les mots de passe dans toutes les applications web si le mot de passe change? MerciComment gérer les mots de passe pour l'accès à la base de données à partir d'un site web asp.net
Répondre
Une meilleure solution serait de mettre en place un pool d'application séparée qui est mis en place avec un compte de service qui a accès à la base de données redémarrer l'application Web après avoir sélectionné le nouveau pool d'applications et utiliser la sécurité intégrée .
Utilisez un mot de passe très fort (et long) et réglez le compte sur le mot de passe n'expire pas et l'utilisateur ne peut pas changer de mot de passe. Cela empêche l'utilisation de texte en clair dans les fichiers web.config.
Je recommanderais d'utiliser l'authentification SQL en mode mixte et d'utiliser un compte SQL pour votre application. Le nom d'utilisateur et mot de passe dans le web.config et crypter cette section du fichier de configuration.
Voici quelques informations sur le chiffrement de la configuration.
http://msdn.microsoft.com/en-us/library/zhhddkxy(v=vs.100).aspx
Mais cela ne causerait-il pas le même problème? J'autorise l'accès à l'utilisateur de domaine sur le serveur SQL, qui fonctionne actuellement à partir d'IIS. Mais le seul problème que j'ai est la gestion des mots de passe. Si j'ai 20 sites qui utilisent le même utilisateur de domaine et que le mot de passe est modifié pour l'utilisateur, tous les accès à la base de données échouent-ils? La même chose se produira si le mot de passe de l'utilisateur SQL doit changer. Ensuite, tous les web.configs de webapp devront être mis à jour. Ce n'est pas quelque chose que je veux faire. Il doit y avoir un moyen de gérer les mots de passe sans casser l'accès db de l'application web. – u84six
Lorsque vous configurez une application pour authentifier un utilisateur donné (AD ou SQL) et que vous modifiez le mot de passe, vous devez reconfigurer l'application. Je ne sais pas s'il y a quelque chose que vous pouvez faire pour éviter cela. –
Je suis un peu surpris par cela. Vous pensez que MS aurait un outil simple pour mettre à jour les applications lorsque le mot de passe change. Il doit y avoir une meilleure façon. – u84six
- 1. Connexion à la base de données Oracle à partir du site Web C# asp.net mvc
- 2. Comment se connecter à un site Web externe à partir de la page Web asp.net?
- 3. Comment gérer les paramètres de base de données à partir d'une application Web Spring MVC?
- 4. Comment gérer les mots de passe pour les bases de données à savoir ou des serveurs ftp dans une application
- 5. Comment stocker les mots de passe dans la base de données
- 6. passe asp.net code javascript base de données
- 7. comment gérer plusieurs connexions de base de données ado.net à partir du service Web asmx
- 8. Comment gérer la sécurité Sitecore pour les utilisateurs anonymes à partir d'un site Web
- 9. Connexion à un site Web à partir d'un autre site Web sans utiliser de base de données
- 10. Utilisation de htaccess pour masquer les mots de passe de la base de données
- 11. Comment télécharger la base de données entière de site Web
- 12. Accéder à la base de données du site Web ASP.NET à l'aide d'Android?
- 13. Exécution d'un site Web ASP.net à partir de la racine
- 14. pour copier l'image à partir d'un site Web dans la base de données automatiquement
- 15. Comment mettre à jour la base de données iOS SQLite à partir du formulaire de site Web?
- 16. Modification du site Web HTML à l'aide de la base de données SQL Server dans ASP.NET
- 17. ASP.NET attraper les contrôles à partir de html généré à partir de la base de données
- 18. enregistrer les mots de passe pour mon site Web en utilisant JavaScript
- 19. Comment récupérer les mots de passe pour tous les schémas de base de données
- 20. site Web ASP.NET à MVC2
- 21. Comment interroger des données à partir d'un site Web https protégé par mot de passe
- 22. Comment configurer une base de données de mots de passe Web
- 23. Ne pas se connecter à la base de données à partir du site Web local
- 24. Comment analyser les données de base de données à partir d'un site ASP?
- 25. Comment envoyer des données traitées à partir de la page Web asp.net à Android
- 26. Comment ajouter Sphider à mon site Web? "Impossible de se connecter à la base de données"
- 27. Comment gérer la connexion à la base de données?
- 28. Raclage de données à partir d'un site Web dynamique
- 29. Envoi de SMS à partir d'un site Web ASP.NET
- 30. Publication de données de formulaire à partir d'un site Web ASP.Net vers une application Web MVC
Je le fais déjà. Mon problème est que nous voulons gérer facilement les mots de passe pour plusieurs pools d'applications sans avoir à les retaper dans chacun d'entre eux après la modification d'un mot de passe. – u84six