Trong nỗ lực giúp quản trị viên dễ dàng sửa đổi nhóm người dùng được ủy quyền trong ứng dụng web ASP .NET MVC của tôi, tôi đã đặt tên nhóm trong Web.config làm appSettings.Thực tiễn không tốt là đưa thông tin nhạy cảm vào tệp Web.config?
<add key="User" value="VDP ICMD Users"/>
<add key="SuperUser" value="VDP ICMD Super Users"/>
<add key="Administrator" value="VDP ICMD Administrator"/>
Giá trị liên quan đến tên nhóm Active Directory thực tế. Sau đó, trong bộ điều khiển của tôi, sử dụng tùy chỉnh của tôi AuthorizeAttribute
tôi chỉ đơn giản có thể viết
[AuthorizeAD(GroupKeys = "User")]
Câu hỏi của tôi là, là nó xấu thực hành để đưa thông tin nhạy cảm như tên nhóm trong một file Web.config nơi họ có thể dễ dàng được thay đổi? Có ai dễ dàng truy cập tệp Web.config không bằng cách đăng nhập vào chính máy chủ?
Nếu ai đó có thể truy cập vào máy chủ của bạn và truy cập web.config của bạn, bạn có những vấn đề lớn hơn cần phải lo lắng về ... –
Tên nhóm là chìa khóa để xác thực hợp lệ làm việc với AD với trang web của bạn. Một người nào đó trong tổ chức của bạn đang ở trong nhóm có các hạn chế cao hơn, anh ấy có thể nâng cấp tư nhân bằng cách truy cập web.tập tin cấu hình và chỉ cần thêm/tên nhóm phiên bản để nâng cao viết/chỉnh sửa priveleges ví dụ –
Đồng ý @Justin Satyr. Tôi không lo lắng về điều đó, đó là công việc của quản trị viên sys. Tôi lo lắng hơn nếu ai đó có thể thay đổi hoặc thậm chí xem tập tin cấu hình mà không nhận được quyền truy cập vào máy chủ. – link664