0
我正在通過SSL調用SOAP Web服務的庫中編寫一個類。 SOAP服務要求在每次調用時傳入用戶名和密碼。這個庫將被公共網站的服務器代碼引用。我不確定存儲密碼的標準/最佳方式是什麼。調用每次調用都需要用戶名和密碼的SOAP服務。我應該如何存儲密碼?
我看到的選項...
- 硬編碼密碼在類
- 存儲在數據庫中
- 存儲在配置文件中的密碼口令字符串
這些都不安全,易於更新。
A
回答
1
我不是一名安全專家,我也沒有做過任何.NET開發(所以信息可能已過時),但這裏有一些想法或建議可能對您有所幫助。
硬編碼密碼在類
不要做一個字符串。你的源代碼是在版本控制(TFS,Git,無論)中,所以將是用戶名/密碼,每個開發人員從你簽入代碼到......永遠都能看到。爲了確保對用戶名/密碼的訪問,您現在被迫保護對源存儲庫的訪問。我想所有的開發者都需要訪問源代碼,但並不需要知道用戶名/密碼。
存儲在數據庫中的密碼,根據您的個人資料
我假設你使用SQL Server? See what encryption options are available to SQL server如果你想要走這條路。也許其中一個就足夠你的用例。
存儲在配置文件中
再次輸入密碼,這將有可能最終在源代碼控制,但它不是那麼糟糕,因爲第一個選項,因爲你可以encrypt parts of the config文件(我假設C#基於你的個人資料)。
如果您可以控制SOAP服務,也許可以將其從需要用戶名/密碼更改爲使用相互身份驗證。您在客戶機上安裝證書(拒絕導出密鑰),並僅允許從安裝了證書的客戶機(也可以將其安裝在開發人員的計算機上)調用Web服務。
解決方案真的取決於保護這個用戶名/密碼的重要性,即您希望的安全級別(您沒有在您的問題中指定)。
如果它不是非常重要,可以將它放在數據庫中作爲您的配置文件2)或從配置中引用的外部文件(未在源代碼管理中提交),並將該文件放在服務器或開發機器上。然後,您基本上可以控制對機器的訪問(假設所有開發人員在從鍵盤起牀時鎖定其PC)。
如果保護這個真的非常重要,你可以問https://security.stackexchange.com/更好的建議比我可以給你:)。
相關問題
- 1. 每次需要密碼CryptSignMessage()調用
- 2. 如何從Android調用SAP SOAP Web服務?用戶名和密碼。?
- 3. Powershell腳本需要調用的域用戶名和密碼
- 4. 我如何要求URL的服務器需要用戶名和密碼
- 5. git每次都需要ssh服務器的密碼
- 6. 在web服務調用中使用用戶名和密碼
- 7. 在java中使用wsdl,用戶名和密碼調用soap webservice
- 8. 每次調用Web服務時重複用戶名/密碼驗證
- 9. 存儲iOS應用程序的用戶密碼和用戶名
- 10. WCF Web服務需要訪問用戶名和密碼信息
- 11. 需要幫助從服務器獲取用戶名和密碼
- 12. 在__服務器_ip_需要用戶名和密碼
- 13. Xcode:存儲用戶名和密碼
- 14. 用戶名和密碼存儲位置
- 15. iPhone cookies存儲用戶名和密碼
- 16. symfony web服務用戶名和密碼
- 17. 我應該如何存儲密碼?
- 18. InvalidSecurity當我嘗試SOAP調用我的WCF用戶名和密碼
- 19. 服務器localhost:3000 at應用程序需要用戶名和密碼
- 20. 如何保存用戶名和密碼?
- 21. 如何調用WCF服務的JavaScript通過用戶名和密碼
- 22. 我應該在哪裏閱讀我的WCF服務的用戶名和密碼?
- 23. Silverlight - 訪問需要用戶名/密碼的肥皂服務
- 24. 用於存儲用戶/密碼和其他信息的服務
- 25. Rancher:牧場主應用程序需要用戶名和密碼
- 26. Web瀏覽器需要再次輸入用戶名和密碼
- 27. 如何編碼用戶名和密碼?
- 28. 是否需要用於存儲Firebase數據的用戶名和密碼?
- 29. 如何存儲JDBC服務器,數據庫,用戶名和密碼在NotesDocument的
- 30. 服務器http:/ localhost:8080需要用戶名和密碼。服務器說:XDB