加密 web.config 连接字符串 - 它是否使用站点的机器密钥?我是否也加密机器密钥?
Encrypting web.config connection string - does it use the machine key for the site? Do I encrypt the machine key as well?
看这里:https://msdn.microsoft.com/en-us/library/dtkwfdky.aspx
他们加密 web.config 中的 machineKey 以及 ConnectionStrings。
这是因为,当每个站点使用自定义 machineKey 时,它会使用机器密钥来加密连接字符串吗?
或者机器密钥只是用于视图状态加密?因此,谨慎地对其进行加密以帮助保护应用程序?
MachineKey 仅用于 encrypt/decrypt/validate ASP.NET cookie 和防伪令牌,它主要处理与用户数据相关的安全性。 MachineKey 与解密配置值无关。 ASP.NET 不会使用 MachineKey 来解密连接字符串。
事实上 MachineKey 与连接字符串一样敏感,因为在获得它之后,某人可以轻松地创建一个经过身份验证的 cookie,这将允许他们登录到任何用户。这就是它应该被加密的原因。
您必须自己加密MachineKey。
看这里:https://msdn.microsoft.com/en-us/library/dtkwfdky.aspx
他们加密 web.config 中的 machineKey 以及 ConnectionStrings。
这是因为,当每个站点使用自定义 machineKey 时,它会使用机器密钥来加密连接字符串吗?
或者机器密钥只是用于视图状态加密?因此,谨慎地对其进行加密以帮助保护应用程序?
MachineKey 仅用于 encrypt/decrypt/validate ASP.NET cookie 和防伪令牌,它主要处理与用户数据相关的安全性。 MachineKey 与解密配置值无关。 ASP.NET 不会使用 MachineKey 来解密连接字符串。
事实上 MachineKey 与连接字符串一样敏感,因为在获得它之后,某人可以轻松地创建一个经过身份验证的 cookie,这将允许他们登录到任何用户。这就是它应该被加密的原因。
您必须自己加密MachineKey。