我编写测试自动化和脚本,需要使用Windows身份验证访问域。
我不喜欢将它们保存在app.config中,因为它们以明文形式可用。
我也不想提示输入,因为这样就不能自动化了。
如果我将它们硬编码到程序集中,它们将在.Net Reflector中可见,并且当我提交.cs文件时,它们会被检查到源代码控制中。
有没有一种模式/实践可以轻松使用配置的用户名和密码而不暴露它们。
这也适用于具有凭据登录的网站和使用Windows身份验证或SQL Server身份验证连接的数据库。
任何建议将不胜感激。
你可以使用 Convert.ToBase64String() 和 Convert.FromBase64String() 与硬编码密码一起提供基本混淆。
如果你真的想要更强的保护,使用像 Blowfish 这样的对称密钥算法,但这是过度杀伤力,你仍然需要将密钥存储在某个地方。
运行测试的过程可以将其作为已验证用户。这样,您只需要在设置服务/计划任务等时输入用户名和密码。当然,如果您必须在测试的一部分中实际输入凭据,则这将无法帮助。
你能不能使用DPAPI来保护它?
这里有一篇有趣的MSDN文章 @ http://msdn.microsoft.com/en-us/magazine/cc164054.aspx
