我正在学习Azure,并尝试遵循WPF和Xamarin.Forms应用程序的最佳安全实践。
我正在使用Azure AD进行身份验证,使用Key Vault来管理我的密码。
那么客户端ID和租户设置呢?这些是连接到Azure以进行登录所必需的。
终结点URI也是调用Key Vault所必需的。
这些Client Id、Tenant和Key Vault终结点是否被视为密码,还是我想太多了。我知道没有经过身份验证的人无法访问或利用它们。
那么将它们放入源代码控制中呢?这样可以吗?
非常感谢您的想法和见解。
Karl
https://login.microsoftonline.com/{tenantID/domain}/.well-known/openid-configuration
例如 https://login.microsoftonline.com/microsoft.onmicrosoft.com/.well-known/openid-configuration
ClientId也出现在http Urls中,因此并不难发现。这就是为什么应该专注于使用令牌验证或用户分配有效地保护对应用程序的访问。
Azure资源的托管标识可帮助避免在源代码控制中检入任何凭据,并且在KeyVault中非常有用。
