Это продолжение вопроса и отличный ответ на: ASPNET_REGIIS: Поместите ключ AES и IV в KeyContainer
Каков подходящий способ управления секретными данными, который должен бытьзашифровано?
Предыдущая публикация была посвящена ASP.NET MVC.Сейчас я перехожу на ASP.NET CORE, который по-разному обрабатывает web.config.В частности, он преобразует файл web.config из XML в JSON и переименовывает его в файл appsetting.json.ОК, достаточно просто.
НО, безопасность обрабатывается по-разному.В частности, с помощью ASP.NET MVC я мог зашифровать файл web.config, и приложение работало бы без проблем.Но в .NET CORE мне поручено использовать диспетчер безопасности с предупреждением о том, что он не шифрует данные.Так какова цель менеджера по безопасности, который ... э-э ... не хватает безопасности (если мы говорим в прямом и чистом смысле этого слова)?
https://docs.microsoft.com/en-us/aspnet/core/security/app-secrets?view=aspnetcore-2.0&tabs=windows
Инструмент Secret Manager не шифрует хранимые секреты и не должен рассматриваться как надежное хранилище.Это только для целей развития.Ключи и значения хранятся в файле конфигурации JSON в каталоге профиля пользователя.
Это нормально, потому что я понимаю, что данные зашифрованы ключом пользователя.Таким образом, только я или администратор компьютера могут читать данные.Но потом я прочитал это:
Не пишите код, который зависит от местоположения или формата данных, сохраненных с помощью инструмента Secret Manager.Эти детали реализации могут измениться.Например, секретные значения не зашифрованы, но могут быть в будущем.
MVC не навязывает разборчивость шифрования, которую, как кажется, обеспечивает CORE, потому что я могу шифровать в любой среде, которую я хочу.Я правильно понимаю?