Должен ли я использовать «Integrated Security = True» в производственной среде?

Question

Это плохая практика для использования Integrated Security=True на рабочем сервере в ASP.NET?

Answer 1

Нет - совершенно безопасно *

Все, что вы делаете, это говорите, что собираетесь использовать учетные данные (обычно) пользователя Windows, под которым выполняется процесс, для аутентификации в SQL Server (каквместо ввода имени пользователя и пароля).

На самом деле использование встроенной защиты в целом считается более безопасным.

(*) Конечно, это всегда зависит от конкретной ситуации, но в целомдело да его хорошо.

Answer 2

Ответ на заглавный вопрос:
Вы не должны трогать (меньше использовать) что-либо в производственной среде, когда у вас возникают такие вопросы или сомнения!

Ответ на основной вопрос:
В действующем SQL Server вообще не должна быть включена проверка подлинности SQL Server

Обновление:
Я удивлен, увидев, что все ответы используют вероятностные "это зависит "," в некоторых случаях "," больше "возможностей.

Answer 3

Это может быть хорошо или плохо, в зависимости от учетной записи, которую IIS использует для запуска веб-приложения.

В любом случае, есть очевидное преимущество, что идентификатор пользователя SQLи пароль не появляется в строке подключения;всегда хорошая вещь.

Однако вам необходимо тщательно настроить производственную среду.Я бы посоветовал вам создать отдельную учетную запись пользователя для IIS, чтобы использовать ее для запуска веб-приложения.Эта учетная запись пользователя может быть настроена так, чтобы иметь доступ только к тем ресурсам SQL, которые требуются вашему приложению.Это защитит вас от того, что другие приложения могут быть легко скомпрометированы в случае нарушения безопасности вашего веб-приложения.

Я слышал о программистах, занимающихся акробатикой, где при запуске загружается строка соединения SQL с идентификатором пользователя и паролемвремя от зашифрованного ресурса: -)