处理密码和配置文件的最佳做法是什么?
问题描述:
我在写一个需要访问许多不同数据库的内部业务应用程序。每个数据库都需要不同的密码。我讨厌实际上对我的密码进行硬编码,因为如果他们改变了,我会永远不得不在我的代码中修改它们。更不用说在这种情况下没有安全的事实!处理密码和配置文件的最佳做法是什么?
我正在考虑将密码存储在服务器上的配置文件中。处理这个问题的一种方法是以纯文本形式存储密码,并依靠服务器不允许用户查看文件。再次,我真的不喜欢这种情况,因为我不知道谁有/没有访问服务器。
什么被认为是处理配置文件或代码中的密码的'最佳实践'?
答
如果您使用的是Windows并且位于Active Directory域中,则最佳做法是使用正确的权限为数据库访问,网站,Windows服务等创建特定的域帐户。
确保已经为这些帐户设置了正确的权限。
使用已设置的帐户启动业务应用程序。您可以使用runas。使用SSPI(Windows身份验证)将不同的连接字符串存储在配置文件中 - 无需在配置中存储用户名和密码。
最佳做法是使用Windows身份验证 – 2010-07-27 09:17:28