ASP.NET Core Security の概要
ASP.NET Core によって、開発者はセキュリティを構成して管理することができます。 次の一覧に、セキュリティに関するトピックへのリンクを示します。
- 認証
- 承認
- データ保護
- HTTPS の適用
- 開発中のアプリ シークレットの安全な格納
- XSRF/CSRF 防止
- クロス オリジン リソース共有 (CORS)
- クロスサイト スクリプティング (XSS) 攻撃
これらのセキュリティ機能を使用すれば、堅牢かつセキュアな ASP.NET Core アプリを構築できます。
ASP.NET Core セキュリティ機能
ASP.NET Core には、ASP.NET Core アプリをセキュリティで保護するための多くのツールとライブラリが用意されています。たとえば、組み込みの ID プロバイダーや、Facebook、Twitter、LinkedIn などのサードパーティの ID サービスなどです。 ASP.NET Core には、アプリ シークレットを格納するための方法がいくつか用意されています。
認証と承認
認証とは、ユーザーが提供した資格情報をオペレーティング システム、データベース、アプリまたはリソースに格納されているものと比較するプロセスのことです。 資格情報が一致した場合、ユーザーは正常に認証され、承認プロセス中に、承認されたアクションを実行できます。 承認とは、ユーザーに許可する実行内容を決定するプロセスのことです。
また、認証はサーバー、データベース、アプリまたはリソースなどの領域に入る方法と見なすことができます。一方、承認はユーザーがその領域 (サーバー、データベース、またはアプリ) 内のいずかのオブジェクトに対して実行できるアクションです。
ソフトウェアの一般的な脆弱性
ASP.NET Core および EF には、アプリをセキュリティで保護し、セキュリティ違反を防止するのに役立つ機能が含まれています。 以下にリストされているリンクから、Web アプリの最も一般的なセキュリティの脆弱性を回避するための手法の詳細を示すドキュメントにアクセスできます。
この他にも知っておく必要がある脆弱性はあります。 詳細については、目次のセキュリティと Identity のセクションにある他の記事を参照してください。
その他のリソース
ASP.NET Core