对在Azure部署的Web.config中存储密码的正确程序感到困惑

Question

我在Azure上安装MVC 5应用程序时遇到了非常令人沮丧的经历.我一直在阅读以下页面:http://www.asp.net/identity/overview/features-api/best-practices-for-deploying-passwords-and-other-sensitive-data-to-aspnet-and-天蓝

但我没想到的是以下内容:

安全警告:不要将您的秘密.config文件添加到项目中或将其检入源代码管理中.默认情况下,Visual Studio将"构建操作"设置为"内容",这意味着将部署该文件.有关更多信息,请参阅为什么不部署项目文件夹中的所有文件？虽然您可以对秘密.config文件使用任何扩展名,但最好保留它.config,因为IIS不提供配置文件.另请注意,AppSettingsSecrets.config文件是web.config文件中的两个目录级别,因此它完全不在解决方案目录中.通过将文件移出解决方案目录,"git add*"将不会将其添加到您的存储库中.

和:

安全警告:与AppSettingsSecrets.config文件不同,外部连接字符串文件必须与根web.config文件位于同一目录中,因此您必须采取预防措施以确保不将其签入源存储库.

问题如下:当我上传带有外部文件的Web.config文件而没有被包含时,我遇到"系统无法找到指定的文件",所以为了它消失我必须包含.config文件击败微软帖子的目的.

我真的真的不明白.我在Azure的门户中添加了connectionStrings和appSetting的密钥. 将我的密码和机密放在网上的正确和安全的方法是什么？我错过了什么？是因为我在调试模式下运行吗？

根据这个: 我如何保护存储在web.config中的密码？

访问Web.config文件没什么好担心的......

但这只是蔑视微软的帖子.

谢谢.

Answer 1

我发现以下技术是实现此目的的最简单方法。

我没有将这些设置的部署值放入 中web.config，而是将测试值保留在那里。然后，我通过 Azure 门户将部署值放入 Azure 网站的“应用程序设置”部分：

当网站运行时，这些设置将优先于web.config. 这有助于我避免外部化文件，使我能够保持团队可以共享的健全的开发配置，并使部署变得非常容易。