我在web.config文件中添加了以下设置,以启动对外部系统的API调用。因此,我将如下存储API URL +用户名+密码:
<appSettings> <add key="ApiURL" value="https://...../servlets/AssetServlet" /> <add key="ApiUserName" value="tmsservice" /> <add key="ApiPassword" value="test2test2" />
然后在我的操作方法中,当构建Web客户端时,我将引用这些值,如下所示:
public ActionResult Create(RackJoin rj, FormCollection formValues) { XmlDocument doc = new XmlDocument(); using (var client = new WebClient()) { var query = HttpUtility.ParseQueryString(string.Empty); foreach (string key in formValues) { query[key] = this.Request.Form[key]; } query["username"] = System.Web.Configuration.WebConfigurationManager.AppSettings["ApiUserName"]; query["password"] = System.Web.Configuration.WebConfigurationManager.AppSettings["ApiPassword"]; string apiurl = System.Web.Configuration.WebConfigurationManager.AppSettings["ApiURL"];
但这是我要公开的用户名和密码,并且可以被用户捕获,所以我的问题是如何保护API用户名和密码?
通常,web.config是一个安全文件,IIS不提供该文件,因此不会向向Web服务器发出请求的用户公开。Web服务器仅提供特定类型的文件,而web.config肯定不是em之一。
通常,您将数据库连接字符串保存在其中,其中包括密码。现在想象一下web.config不安全的情况。您对应用程序造成了主要的安全威胁。
因此,特别是只要您的项目不太大,就不必担心它。
但是,您可能有更好的方法,但是创建了一个名为“ Resources”的项目,并在其中保存了所有关键信息,例如设置,const,枚举等。那将是一种巧妙而有组织的方法。
但是,如果您通过网络传递用户名/密码(例如在安全的API调用的情况下),则可能需要使用https来确保对正在传输的信息进行加密,但与密码的安全性无关web.config文件。
