如何避免Sharepoint webpart中的硬編碼憑據？

Question

我正在構建一個Sharepoint Web部件，供所有用戶使用，但只能由管理員修改。 Web部件連接到需要憑證的Web服務。我在Web部件的代碼中硬編碼憑證。

query.Credentials = new System.Net.NetworkCredential("username", "password", "domain"); 

query是Web服務類

這可能不是一個好方法的一個實例。關於安全性，網頁的源代碼可供不被允許查看證書的人員使用。

在正常的ASP.net應用程序中，憑證可以寫入web.config並加密。 Web部件沒有關聯的.config文件。整個SharePoint站點有一個應用程序級別的.config文件，但我不想爲單個Web部件修改它。我想知道是否有一個特定於web部件的方式來解決證書問題？假設我們提供該Web部件的WebBrowsable屬性，以便特權用戶可以修改憑據。如果這是可取的，我應該如何使該屬性顯示在密碼（「***」）而不是純文本中？

謝謝。

Answer 1

創建customtoolpart，檢查條件一樣SPWeb.UserIsWebAdmin，如果是的話，渲染所需的憑證字段（輸入文本框，文本框蒙面等）。

Answer 2

從配置文件的加密部分讀取用戶名和密碼。有關程序化用途的更多信息，請參閱https://web.archive.org/web/1/http://blogs.techrepublic%2ecom%2ecom/programming-and-development/?p=448。

Answer 3

除了上面，你可以在服務器上保存憑證（安全，當然），是它的配置文件符號鏈接中，在已知位置的文件（例如，常見的目錄），甚至（不推薦）在環境中。

這種方法的好處是它允許開發/測試/任何具有不同憑據，並且在開發/測試/等時不干擾生產。

Answer 4

如果您希望Web部件獨立於系統的其他部分，則屬性是最簡單的選項。該方法的主要缺點是無法爲各個屬性設置權限，因此用戶將看到它。您可以將該值設置爲散列值（在添加Web部件之前由管理員在別處計算），但我認爲我不認爲這是一個好的解決方案。

如果您只想爲管理員提供ui，您應該創建一個自定義設置頁面（CustomAction +佈局頁面），該頁面將憑據保存在網站媒體資源中，可能已加密，因此只能通過您的自定義代碼網頁部分和設置頁面。