ASP.NET Identity システムは、以前の ASP.NET メンバーシップ システムとシンプル メンバーシップ システムを置き換えるためのものです。 これは、プロファイルのサポート、OAuth 統合、OWIN との連携を含み、Visual Studio 2013 に付属する ASP.NET テンプレートに含まれています。
最も安全な認証オプションを使用することをお勧めします。 Azure にデプロイされた .NET アプリについては、次を参照してください。
Azure Key Vault と .NET Aspire は、シークレットを格納および取得するための最も安全な方法を提供します。 Azure Key Vault は、証明書、接続文字列、パスワードなどの暗号化キーとシークレットを保護するクラウド サービスです。 .NET アスパイアについては、「ホスティングとクライアント統合の間のセキュリティで保護された通信を参照してください。
リソース所有者のパスワード資格情報の付与は、次の理由で回避してください。
- ユーザーのパスワードをクライアントに公開します。
- 重大なセキュリティ リスクです。
- 他の認証フローが不可能な場合にのみ使用してください。
アプリがテスト サーバーにデプロイされている場合、環境変数を使用して、接続文字列をテスト データベース サーバーに設定できます。 環境変数は通常、プレーンで暗号化されていないテキストで格納されます。 マシンまたはプロセスが侵害された場合、信頼されていない関係者が環境変数にアクセスできます。 運用環境の接続文字列は最も安全な方法ではないため、環境変数を使用して格納しないことをお勧めします。
構成データのガイドライン:
- パスワードやその他の機密データは、構成プロバイダー コードやプレーン テキスト構成ファイルには保存しないでください。
- 開発環境またはテスト環境では、運用シークレットを使用しないでください。
- プロジェクトの外部でシークレットを指定して、ソース コード リポジトリに誤ってコミットされないようにします。