我有一个小应用程序,它可以更改MS SQL数据库中的一些值。这个应用程序每天都有很多人在使用。
在SQL Server中为所有这些人提供db_datawriter并在应用程序中使用集成的安全性更好吗?
还是应该仅为此应用程序创建SQL用户并将凭据存储在代码中?
或者有更好的解决方案/最佳实践吗?
感谢
几年前,如果它只是一个小型内部应用程序,我的反应是创建一个sql用户并将凭据存储在应用程序配置中。。。
然而,从经验来看,">只是一个小应用程序"有随着功能的增长而增长的趋势,因为企业意识到可以为这个">quick-win小应用程序"增加更多价值。
花一点时间通过创建一个与API通信的应用程序来正确地执行。
稍后,您将感谢您从正确的方法开始,它也巩固了最佳实践和良好设计。您现在也可以正确地执行此操作,设置一个核心应用程序,该应用程序可以在创建其他应用程序时复制或使用。
如果您真的坚持不使用API,那么您关于最佳实践的问题真的没有好的答案
在数据库中创建用户是管理员的噩梦,但它确实将安全性留给了操作系统。在代码/config中保存凭据并使用SQL用户更容易管理,但代码可以反编译,从而暴露您的密码。