管理者がASP .NET MVC Webアプリケーションで許可されているユーザーグループを簡単に変更できるようにするために、私はappSettingsとしてWeb.configにグループ名を入れました。機密情報をWeb.configファイルに入れることは悪い習慣ですか?
<add key="User" value="VDP ICMD Users"/>
<add key="SuperUser" value="VDP ICMD Super Users"/>
<add key="Administrator" value="VDP ICMD Administrator"/>
実際のActive Directoryグループ名に関連する値です。その後、私のコントローラでは、私のカスタムAuthorizeAttribute
を使用して、私は単に私の質問がある
[AuthorizeAD(GroupKeys = "User")]
を書くことができ、彼らが容易に変更することが可能Web.configファイルのグループ名などの機密情報を置くことは悪い習慣ですか?誰かがWeb.configファイルにアクセスするのは、サーバー自体にログインする以外に簡単ですか?
誰かがあなたのweb.configにアクセスしてweb.configにアクセスできる場合、あなたはもっと大きな問題を抱えているかもしれません... –
グループ名は、あなたのWebサイトでのADに対する正しい認証の鍵です。あなたの組織の誰かが、より制限の厳しいグループにいるので、Webにアクセスして特典を引き上げることができます。設定ファイルを編集してグループ名を追加/編集して書き込み/編集権限を昇格します。例えば –
合意@ジャスティン・サティア私はそれについて心配していません、それはsys管理者の仕事です。誰かがサーバにアクセスすることなく設定ファイルを見たり変更したりすることができるのであれば、私はもっと心配です。 – link664