问ASP.NET集成身份验证的安全问题

EN

如果您需要保护和审核对生产数据库的访问，则Windows身份验证是比Sql身份验证更好的选择，原因如下：

1. 您可以通过NT组和权限准确地控制谁可以访问数据库，这意味着您知道谁专门有权访问数据库。使用sql身份验证的访问池仅受知道密码的人员的限制。给定n个知道密码的人，跟踪谁在某个时间点做了什么就会更加棘手(但并非不可能)。
2. 只有您的系统管理员才需要知道具有数据库访问权限的nt身份的密码；事实上，只需知道username
3. Logins就可以完成大部分配置，而且在域级别跟踪访问要比使用SQL Server登录更容易。

它不会给你的是：

1. 确保开发人员看不到生产数据的能力-无论谁编写应用程序，都可以轻松地包括一些诊断例程来选择数据
2. 确保生产数据只留在生产中-任何对生产数据库进行备份(比如将其恢复到UAT环境进行测试)的人都可以轻松地公开生产数据。

这种方法的问题已经在其他文章中讨论过；特别是对于ASP.Net应用程序，您必须考虑是否要使用模拟/委派(where服务器可以充当访问它的NT用户)或受信任的用户模型(在该模型中，您配置固定的身份来访问某些资源)。

由于所使用的IIS版本，这一点更加复杂。

如果您的连接字符串存储在一个web.config文件中，那么您可以创建该文件的一个单独的生产版本，开发人员看不到它。这比使用应用程序池的集成身份验证更容易测试和设置。

不过，有一句话要警告:如果你对开发人员限制太多，就会减慢他们的变化速度。由于世界上的其他地方确实在不断变化，这通常会以应用程序成为一个死亡的遗留包而告终。如果你打算成长、改进或扩展，这是很危险的。

应用程序池标识的使用设置起来相当复杂，考虑到trust and delegation问题。一个更好的选择是使用加密的securing connection strings。