Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
ASP.NET Core permet aux développeurs de configurer et de gérer la sécurité. La liste suivante fournit des liens vers des articles sur l’utilisation de la sécurité dans ASP.NET Core :
- Authentification
- Autorisation
- Protection des données
- Application de HTTPS
- Stockage sécurisé des secrets des applications lors du développement
- Prévention du XSRF/CSRF
- CORS (Cross Origin Resource Sharing)
- Attaques par script intersite (XSS)
Ces fonctionnalités de sécurité vous permettent de créer des applications ASP.NET Core robustes et sécurisées.
Pour obtenir des informations sur la sécurité Blazor, qui complètent ou remplacent les conseils fournis dans ce nœud, consultez Authentification et autorisation dans ASP.NET Core Blazor ainsi que les autres articles du nœud BlazorSécurité et Identity.
Fonctionnalités de sécurité ASP.NET Core
ASP.NET Core fournit de nombreux outils et bibliothèques pour sécuriser les applications ASP.NET Core, telles que les fournisseurs d’identité intégrés et les services d’identité non Microsoft tels que Facebook, Twitter et LinkedIn. ASP.NET Core fournit plusieurs approches pour stocker des secrets d’application.
Authentification ou autorisation
L’authentification est un processus où un utilisateur fournit des informations d’identification comparées aux informations d’identification stockées dans un système d’exploitation, une base de données, une application ou une ressource. Lorsque les deux jeux d’informations d’identification correspondent, l’utilisateur s’authentifie correctement. Ils peuvent ensuite effectuer des actions pour lesquelles ils sont autorisés. Le processus d’autorisation détermine les actions que l’utilisateur est autorisé à effectuer.
Une autre façon de considérer l’authentification consiste à la considérer comme un moyen d’entrer un espace, où l’espace est un serveur, une base de données, une application ou une ressource. L’autorisation définit les actions que l’utilisateur peut effectuer sur les objets à l’intérieur de cet espace (serveur, base de données ou application).
Vulnérabilités courantes dans les logiciels
ASP.NET Core et Entity Framework contiennent des fonctionnalités qui vous aident à sécuriser vos applications et à empêcher les violations de sécurité. La liste de liens ci-après vous permet d’accéder à une documentation décrivant en détail des techniques destinées à éviter les failles de sécurité les plus courantes dans les applications web :
- Attaques de script intersite (XSS)
- Requêtes SQL > attaques par injection SQL
- Attaques par falsification de requête intersites (XSRF/CSRF)
- Attaques par redirection ouverte
Il existe d’autres failles de sécurité que vous devez connaître. Pour plus d’informations, consultez les autres articles de la section Sécurité et Identity de la table des matières.
Flux d’authentification sécurisés
Nous vous recommandons d’utiliser l’option d’authentification la plus sûre. Pour les services Azure, l’authentification la plus sécurisée est Identités managées.
Évitez d’utiliser l’octroi roPG (Resource Owner Password Credentials) :
- Il expose le mot de passe de l’utilisateur au client.
- C’est un risque de sécurité important.
- Utilisez-la uniquement lorsque d’autres flux d’authentification ne sont pas possibles.
Les identités managées sont un moyen sécurisé de s’authentifier auprès de services sans avoir à stocker les informations d’identification dans le code, les variables d’environnement ou les fichiers de configuration. Les identités managées sont disponibles pour les services Azure et peuvent être utilisées avec Azure SQL, Stockage Azure et d’autres services Azure :
- Identités managées dans Microsoft Entra pour Azure SQL
- Identités managées pour App Service et Azure Functions
- Flux d’authentification sécurisés
Quand l’application est déployée sur un serveur de test, une variable d’environnement peut être utilisée pour définir la chaîne de connexion à un serveur de base de données de test. Pour plus d’informations, consultez Configuration. Les variables d’environnement sont généralement stockées en texte brut et non chiffré. Si l’ordinateur ou le processus est compromis, les variables d’environnement peuvent être accessibles à des parties non approuvées. Nous vous déconseillons d’utiliser des variables d’environnement pour stocker une chaîne de connexion de production, car ce n’est pas la méthode la plus sûre.
Instructions relatives aux données de configuration :
- Ne stockez jamais des mots de passe ou d’autres données sensibles dans le code du fournisseur de configuration ou dans les fichiers de configuration en texte clair. Vous pouvez utiliser l’outil Secret Manager pour stocker des secrets lors du développement.
- N’utilisez aucun secret de production dans les environnements de développement ou de test.
- Spécifiez les secrets en dehors du projet afin qu’ils ne puissent pas être validés par inadvertance dans un référentiel de code source.
Pour plus d’informations, consultez l’article suivant :
- Recommandations relatives aux meilleures pratiques liées aux identités managées
- Connexion de votre application à des ressources sans gérer les informations d’identification dans votre code
- Services Azure qui peuvent utiliser des identités managées pour accéder à d’autres services
- Bonnes pratiques actuelles de l’IETF en matière de sécurité pour OAuth 2.0 (section 2.4 : mode d’autorisation par mot de passe du propriétaire de la ressource)
Pour plus d’informations sur d’autres fournisseurs de cloud, consultez :
- AWS (Amazon Web Services) : AWS Service de gestion de clés (KMS)
- Vue d’ensemble de Google Cloud Service de gestion de clés
Modèles d’application web d’entreprise
Pour obtenir des conseils sur la création d’une application ASP.NET Core fiable, sécurisée, performante, testable et évolutive, consultez modèles d’applications web d’entreprise. Un exemple complet d’application web de qualité de production qui implémente les modèles est disponible.
Contenu connexe
Collaborer avec nous sur GitHub
La source de ce contenu se trouve sur GitHub, où vous pouvez également créer et examiner les problèmes et les demandes de tirage. Pour plus d’informations, consultez notre guide du contributeur.
