Sur un serveur, j'ai plusieurs applications ASP .NET (dont des
WebServices)
Je me suis inspiré du document SecNet.pdf pour mettre en place les
aspects liés à la sécurité.
Les comptes utilisateurs et les mots de passe encryptés sont stockés
dans une base MSDE.
J'utilise des tickets cryptés dans les cookies http pour les
applications ASP.NET et dans un customHeader pour les services Web.
Les utilisateurs s'authentifient en https soit sur une page de login,
soit avec un service web de login (client riche).
Puis ils peuvent naviguer sur l'ensemble des applications.
Pour ce faire, j'ai généré une validationKey et une decryptionKey que
j'ai placées dans le machine.config
(en remplacement du AutoGenerate)
Je crains que ce ne soit pas une bonne solution que de toucher aux
paramètres machine.
Quelqu'un aurait-il une expérience en la matière pour partager mes clés
entre toutes mes applications sans interférer avec d'éventuelles autres
applications ? Est-ce possible de les dupliquer dans les différents
web.config ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Simon Mourier
Partager des clés de manière globale (et sans autogenerate donc) semble un peu dangereux en effet. Mais l'élement machineKey peut-être déclaré au niveau de chaque application (web.config). En utilisant Forms authentication de manière standard, il n'y a pas des dizaines de possibilités.
Simon. www.softfluent.com
"Fred" a écrit dans le message de news:
Bonjour,
Sur un serveur, j'ai plusieurs applications ASP .NET (dont des WebServices) Je me suis inspiré du document SecNet.pdf pour mettre en place les aspects liés à la sécurité. Les comptes utilisateurs et les mots de passe encryptés sont stockés dans une base MSDE. J'utilise des tickets cryptés dans les cookies http pour les applications ASP.NET et dans un customHeader pour les services Web. Les utilisateurs s'authentifient en https soit sur une page de login, soit avec un service web de login (client riche). Puis ils peuvent naviguer sur l'ensemble des applications.
Pour ce faire, j'ai généré une validationKey et une decryptionKey que j'ai placées dans le machine.config (en remplacement du AutoGenerate)
Je crains que ce ne soit pas une bonne solution que de toucher aux paramètres machine. Quelqu'un aurait-il une expérience en la matière pour partager mes clés entre toutes mes applications sans interférer avec d'éventuelles autres applications ? Est-ce possible de les dupliquer dans les différents web.config ?
Merci.
-- Fred http://www.cerbermail.com/?3kA6ftaCvT
Partager des clés de manière globale (et sans autogenerate donc) semble un
peu dangereux en effet.
Mais l'élement machineKey peut-être déclaré au niveau de chaque application
(web.config). En utilisant Forms authentication de manière standard, il n'y
a pas des dizaines de possibilités.
Simon.
www.softfluent.com
"Fred" <foleide@libre.france> a écrit dans le message de news:
uMmTqFesFHA.3264@TK2MSFTNGP12.phx.gbl...
Bonjour,
Sur un serveur, j'ai plusieurs applications ASP .NET (dont des
WebServices)
Je me suis inspiré du document SecNet.pdf pour mettre en place les aspects
liés à la sécurité.
Les comptes utilisateurs et les mots de passe encryptés sont stockés dans
une base MSDE.
J'utilise des tickets cryptés dans les cookies http pour les applications
ASP.NET et dans un customHeader pour les services Web.
Les utilisateurs s'authentifient en https soit sur une page de login, soit
avec un service web de login (client riche).
Puis ils peuvent naviguer sur l'ensemble des applications.
Pour ce faire, j'ai généré une validationKey et une decryptionKey que j'ai
placées dans le machine.config
(en remplacement du AutoGenerate)
Je crains que ce ne soit pas une bonne solution que de toucher aux
paramètres machine.
Quelqu'un aurait-il une expérience en la matière pour partager mes clés
entre toutes mes applications sans interférer avec d'éventuelles autres
applications ? Est-ce possible de les dupliquer dans les différents
web.config ?
Partager des clés de manière globale (et sans autogenerate donc) semble un peu dangereux en effet. Mais l'élement machineKey peut-être déclaré au niveau de chaque application (web.config). En utilisant Forms authentication de manière standard, il n'y a pas des dizaines de possibilités.
Simon. www.softfluent.com
"Fred" a écrit dans le message de news:
Bonjour,
Sur un serveur, j'ai plusieurs applications ASP .NET (dont des WebServices) Je me suis inspiré du document SecNet.pdf pour mettre en place les aspects liés à la sécurité. Les comptes utilisateurs et les mots de passe encryptés sont stockés dans une base MSDE. J'utilise des tickets cryptés dans les cookies http pour les applications ASP.NET et dans un customHeader pour les services Web. Les utilisateurs s'authentifient en https soit sur une page de login, soit avec un service web de login (client riche). Puis ils peuvent naviguer sur l'ensemble des applications.
Pour ce faire, j'ai généré une validationKey et une decryptionKey que j'ai placées dans le machine.config (en remplacement du AutoGenerate)
Je crains que ce ne soit pas une bonne solution que de toucher aux paramètres machine. Quelqu'un aurait-il une expérience en la matière pour partager mes clés entre toutes mes applications sans interférer avec d'éventuelles autres applications ? Est-ce possible de les dupliquer dans les différents web.config ?
Merci.
-- Fred http://www.cerbermail.com/?3kA6ftaCvT
Fred
Dans : news:, Simon Mourier disait :
Mais l'élement machineKey peut-être déclaré au niveau de chaque application (web.config).
Merci, c'est exactement ce dont je n'étais pas sûr.
-- Fred http://www.cerbermail.com/?3kA6ftaCvT
Dans : news:u0VwYuesFHA.1172@TK2MSFTNGP11.phx.gbl,
Simon Mourier disait :
Mais l'élement machineKey peut-être déclaré au niveau de chaque
application (web.config).
Merci, c'est exactement ce dont je n'étais pas sûr.
