official documentation lists appsettings.json的以下做法:
- 切勿将密码或其他敏感数据存储在配置提供程序代码或纯文本配置文件中。
- 不要在开发或测试环境中使用生产秘密。
- 在项目外部指定机密,这样就不会将它们意外地提交到源代码存储库。
据我所知,当您在IIS上托管应用程序时,不会提供appsettings.json,因此无法从Web上进行访问。我们也自己托管源代码(即在我们自己的服务器上)。据我所知,唯一真正的危险是有人设法破坏整个系统并实际访问appsettings.json本身。
但是还有其他原因将敏感数据保留在appsettings.json之外吗?我还有其他安全方面要忽略的问题吗?
我知道有几个问题要问如何来确保appsettings.json的安全,但没有真正的风险。
有很多原因,但是您已经提到的主要原因: