我创建了一个示例项目,并拥有Azure服务器来同时维护资源和安全性。在我的ASP Web应用程序中,我想创建登录系统,并希望它使用Azure安全保险库进行保护。基本上我想将它们存储在Azure Vault中。我已经了解了Web应用程序中使用SDK的密钥和机密以及Azure AD身份验证,但是我对使用密钥/机密作为用户ID和密码(可以帮助用户登录到我的应用程序)不了解。
我应该将用户名或密码保存在keyvault中。如果我正在这样做,那么获取这些值的目的是什么,因为只需通过URL即可访问它们。
我尝试查找各种示例,但它们均使用社交网站进行OWIN身份验证,但在我的情况下,我将不会使用社交网络登录。
寻求帮助以了解如何在保护用户登录凭据的上下文中在哪里使用Azure密钥库的密钥/秘密。任何提示都会有所帮助。
参考:Key Vault REST API https://docs.microsoft.com/en-us/rest/api/keyvault/
答案 0 :(得分:2)
请勿将用户凭据存储在Key Vault中。 那不是它的目的。
如果存储密码,则在安全地对它们进行哈希处理之后,需要将其存储在数据库中。 非常重视安全性。 您永远不会有一种方法来恢复用户密码。
答案 1 :(得分:1)
如果您尝试将用户信息保留在天蓝色的内部并在应用程序中使用它,则需要的是Azure Active Directory。您可以在mvc项目中查看examples on how to implement AD。
您将Azure Key Vault用于程序所需的机密或要授予集合或用户访问权限的某些机密。您不使用Azure密钥保管库来存储常规用户和密码信息。希望这会有所帮助。