出于测试目的,我在VS2019中创建了一个ASP.NET Core MVC应用程序,并添加了身份验证“云-单一组织”。 作为创建过程的一部分,VS在我的订阅的Azure AD中注册了一个应用程序,并允许我使用存储在其中的用户登录。
然后,我在另一个订阅中创建了另一个应用注册,并更改了MVC应用的“ app settings.json”以包含另一个订阅的应用凭据:
现在我可以使用存储在另一个订阅目录中的用户登录。
我的问题是:如果我将MVC应用程序推送到公共git仓库,我是否应该考虑上述凭据机密并在提交之前将其删除?
我认为没有真正的危险,但是另一方面,暴露它们是不对的。
答案 0 :(得分:0)
这两个值($ aws iam list-users
Invalid endpoint: https://iam.T4qF8cA0VhFpL+tGcpyXmsWN/Ln3WMkLwpeJBwVhDkd5lBolFNeEG1JBPFsnVXKPCp2CUZHni/qw.amazonaws.com
和tenant_id)都不被认为是秘密。他们是公开的。一旦公开发布了应用程序(而不仅仅是在Intranet上),每个人都将能够获得这两个值-它们都在OIDC重定向到授权端点中使用。
但是我仍然可以考虑将它们隐藏在web.config / settings.json文件中-这是管理应用程序设置的一般最佳实践。尝试Azure Application Configuration服务的好机会;)