Discussion :

[Specifik]

Bonjour tout le monde !

Pour une application que je développe sous Visual Studio 2013, j'utilise Entity Framework 6.0. Tout se passe parfaitement bien. La seule chose, c'est que je souhaite ne pas afficher le mot de passe de la connexion à la base de données dans le fichier de configuration. J'aimerai le définir dans le code au moment où j'instancie mon contexte de données.

Lorsque je génère mes entités à partir de la base de données, j'ai sélectionné l'option permettant d'exclure les données sensibles de la chaîne de connexion. Et j'aimerai savoir si l'un d'entre vous sait définir ces informations dans le code, s'il vous plait ?

Merci bien pour votre aide !

[Alexandre le Grand]

Bonjour,

Dans ce cas utilisez le TrustedConnection (Authentifiaction Windows), et votre chaine de connexion ressemblera à quelquechose comme ceci avec SQL QERVER comme provider:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<add name="MonConteneur" connectionString="metadata=res://*/MaBD.csdl|res://*/MaBD.ssdl|res://*/MaBD.msl;provider=System.Data.SqlClient;provider connection string=&quot;data source=MonPoste;initial catalog=MaBD;integrated security=True;multipleactiveresultsets=True;App=EntityFramework&quot;" providerName="System.Data.EntityClient" />

Ou encore si vous pouvez crypter votre fichier de config, ça cachera le mot de passe.

[tomlev]

Tu peux mettre la chaine sans mot de passe dans le fichier, et ajouter le mot de passe dynamiquement dans le code :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
    string connectionString = ConfigurationManager.ConnectionStrings["nom_de_la_chaine_de_connexion"].ConnectionString;
    var builder = new SqlConnectionStringBuilder(connectionString);
    builder.Password = "blabla";
    connectionString = builder.ConnectionString;

[dfiad77pro]

Cela dit en cas de décompilation le mot de passe est visible, donc un petit RSA+service peut être intéressant ?

[tomlev]

Cela dit en cas de décompilation le mot de passe est visible, donc un petit RSA+service peut être intéressant ?

Oui, et la clé tu la mets où ? Si le mot de passe est chiffré, il faut bien que le programme puisse le déchiffrer ; et pour ça il lui faut la clé, qui doit donc être stockée quelque part... et donc récupérable par quelqu'un d'autre. En fait il n'y a pas vraiment de solution miracle ; quelle que soit la solution retenue, un utilisateur qui a les mêmes privilèges que l'application pourra accéder aux même données.

Si tu veux vraiment éviter de mettre le mot de passe en clair, le plus simple est d'utiliser Data Protection API, qui a l'avantage de ne pas nécessiter de gestion manuelle de la clé.

[dfiad77pro]

Oui mais ça embête déjà un peu plus la relecture du code

En fait je pensais pas mettre la clé secrète dans le code,
mais plutôt passer par un service qui seul aura le droit d’accéder à la BDD et utiliser les apis de connexion sécurisé aux servicex ( solution non envisageable pour ce thread)


Mais ta solution comme souvent semble plus adaptée

[M_Makia]

Bonjour à tous,
je sais qu'il est possible de crypter le fichier de config.
Voir si cette solution te convient.
http://blog.mathieu-perrein.net/post...u-webconfig%29