我白天是一名C#软件人,也是一名SharePoint初学者。我在SharePoint Online中使用内容编辑器Web部件,并且不知道如何安全地存储机密。我的SharePoint应用程序必须与另一个应用程序和todo通信,因此我必须使用自定义凭据。因为我处于Dev阶段,所以我能够在我的Type Script文件中硬编码,但这不是我想要的长期。
我的问题是,是否有人可以指导我使用由TypeScript / JavaScript使用的SharePoint Online Content Editor Web部件来存储机密的正确策略。
由于
答案 0 :(得分:1)
老实说,正确的策略是不要使用JavaScript来进行敏感的API调用。敏感的API调用应该只在服务器端进行(这样任何"密码,密码等都不会到达浏览器)。
在某处存储秘密值并使用JavaScript访问它的问题是,JavaScript必须在整个过程中的某个位置解码该值才能使用它。这意味着精明的用户可以查看页面的源代码,打开浏览器JS工具,并执行相同的命令来获取值。对安全性不太好。
内部部署SharePoint实际上有一个称为Secure Store Service的解决方案,但部分工作原理是它设计用于服务器端代码。截至目前,微软还没有在SharePoint Online中为该服务发布客户端API(可能因为在JS中使用它会不像我提到的那样安全)。
"适当"战略取决于你的目标。您至少有两个选择: