我正在考慮在我的Web應用程序中使用FormsAuthentication。指定允許使用應用程序的web.config中的用戶有多安全?在web.config中指定用戶時的安全性
這裏是我談論的例子:
<authentication mode="Forms">
<forms loginUrl="TestLogin.aspx" slidingExpiration="true" timeout="30">
<credentials>
<user name="test" password="password"></user>
</credentials>
</forms>
</authentication>
默認情況下,IIS將不會投放在一個.config擴展名結尾的任何文件,所以只要你相信任何有權管理你的網絡服務器的人,你應該沒問題。
想想這樣:大多數人已經將數據庫連接信息存儲在他們的web.config文件中,所以如果你的用戶在數據庫中定義了,它只是遠離被攻陷的一步。
如果您只有幾個用戶來處理,而且他們的憑據不會經常更改,那麼您應該沒問題使用web.config來存儲用戶。儘管不以純文本存儲用戶密碼可能是一個好主意。如果您是超級偏執狂,請查看您的web.config文件的authentication部分的加密:http://www.codeguru.com/csharp/.net/net_asp/miscellaneous/print.php/c13663。
我認爲這是罰款一點簡單的網站。不過,我肯定會加密密碼,就像這樣:
<credentials passwordFormat = "SHA1">
<user name="UserName1" password="SHA1EncryptedPassword1"/>
<user name="UserName2" password="SHA1EncryptedPassword2"/>
<user name="UserName3" password="SHA1EncryptedPassword3"/>
</credentials>
更多相關信息,在這裏:http://msdn.microsoft.com/en-us/library/e01fc50a.aspx