在ASP.NET中使用/重新使用帐户作为应用程序标识是否有最佳做法?我最近就这种做法进行了激烈的讨论。单独的身份是额外的开销,但似乎更安全。我离开了吗?
答案 0 :(得分:3)
我想说这取决于场景。
作为一般规则,您需要在IIS中为在Web服务器中部署的每个Web应用程序配置一个单独的应用程序池,至少在生产中。这样说,对于您创建的每个应用程序池都有一个帐户的Active Directory服务器不是问题。
应用程序安全性的一个古老的好规则是始终提供所需的最小权限集,所以如果你有App A和App B想象也有用户A和用户B,每个人只有权利使用他们的应用程序(最终访问某些数据库,某些网络驱动器等)。
如果您只拥有用户C并授予该用户所有权限,则App A中的错误可能会连接并可能干扰App B,因为如果您使用用户A运行App A,则用户C对这两者都有权限,这不可能发生。
答案 1 :(得分:2)
还有另一种观察方式:
在过去10年的几乎所有项目中,我们都使用了与应用程序分离的标识,有时它就像使用用户Windows标识一样简单。
安全性避免编写代码是好的。由于未编写的代码不能包含安全漏洞。