问使用加密和可能的ASP.Net API / WebServices保护公共发行版的ASP.Net

EN

好吧，让我们先看看选项：

选项1

首先，如果连接字符串是纯文本的，那么app.config就不是那么安全。实际上，您可以加密配置文件的一部分，这可能会给您的安全性增加更多。接下来是代码的反编译。这是你根本做不了的事。无论您在代码中添加了多大程度的混淆，也不管您减少了多少，代码始终是可反编译的。毕竟，你的电脑需要阅读代码，对吗？所以，是的，混淆可能会增加应用程序的源代码安全性。然而，它不能保证100%的安全性。

也不确定您对数据库有多少经验，但正如您所说的，您已经创建了一个只能执行某些存储过程的SQL server终端用户，那么您为什么要担心有人访问您的密码呢？

这也让我想知道为什么你会担心hashed+salted密码。如果你的应用程序没有产生数十亿美元，而且你也没有像谷歌或Facebook那样统治市场，那么给我一个理由，我为什么要黑进你的系统？看看你申请的是哪一种皮肤？

选项2

现在我们开始谈话了！因此，如果我们想讨论Web ，让我们先忘掉安全性。

假设一个用户使用您的桌面应用程序，尝试直接将他/她的数据插入数据库，而没有任何Web。假设当他点击“”或类似的东西时，用户的互联网连接就会下降。你知道接下来会发生什么吗？用户打开到数据库的连接，尝试插入一些数据，但在数据库真正获得需要插入的全部数据之前，应用程序失去了连接，您的SQL查询要么不完整，要么变得奇怪，该查询被执行，砰！整个表都损坏了！嗯，有时候甚至更糟，但是嘿，我不要再吓唬你了。

Web 可以将您从这种情况中拯救出来。我不打算详述，但最简单的逻辑是：

要么您正确地调用API，然后API进行数据库调用，要么您不进行正确的调用，API就不会继续进行数据库调用。

API还可以让您更好地控制某人从您的服务器上实际获得的信息。在可伸缩性方面，您也有一个巨大的优势。因为您对Web和数据库进行了同样多的更新，而不必对最终用户的应用程序做任何操作，因此减少了用户下载每个更新的需求。

现在，让我们把一件事弄清楚。Web和Web是两种不同的东西(尽管关系密切)。无论如何，从Web获取数据所需的请求称为GET请求。当您想插入数据时，您需要发出一个POST请求。要删除，您需要发出一个Delete请求，要更新，可以使用PUT或PATCH。

如何在每个请求上服务器数据是一个完全不同的主题。你可以在谷歌上搜索。但我会让你容易的。跟这个一起走：Asp.Net Core2.0WebAPI教程。

此外，一定要在搜索查询中包括"RESTful“。

无论如何，最好的选择实际上是将选项1和选项2结合起来。

1. 可以对连接字符串的部分进行加密。
2. 混淆代码
3. 创建一个RESTful Web
4. 创建具有有限权限的SQL server级别用户。
5. 确保服务器的安全性(这是一个完全不同的主题)
6. 使用适当的工具和设置边界来监控进出电话。

我想这就是你现在所能做的。但是如果你有很多资源，比如说，像Google或Facebook这样的数十亿美元，你可以为你的安全增加更多！

干杯。