Powerbi 如何在Power BI DataConnector中存储凭据?
我正在构建一个使用OAuth的自定义Power BI数据连接器。我在跟踪调查。但这会将客户端凭据(OAuth中的所需)存储为纯文本文件。是否有安全的替代方案?不幸的是,根据Microsoft工作人员Curt Hagenlocher的说法,由于当前的“最新技术”,无法安全地保护这些凭据: 没有办法保护某人桌面上的秘密。这就是为什么一些OAuth提供商(如AAD)支持“本机应用程序”模式,其中有客户机id但没有秘密。该领域的最新开发是PKCE,我们的目标是在今年晚些时候为其提供示例代码 原则上,一个秘密可以单独提供给服务使用——我希望有一天我们可以这样做——但是需要创建很多基础设施来支持这一点 我建议对模块本身进行加密,Curt的回答是这也将无效: 所有人需要做的就是让小提琴手跑起来,他们就能看到 确切地说,要将什么秘密发送到令牌端点 完整对话:Powerbi 如何在Power BI DataConnector中存储凭据?,powerbi,powerquery,powerbi-desktop,m,Powerbi,Powerquery,Powerbi Desktop,M,我正在构建一个使用OAuth的自定义Power BI数据连接器。我在跟踪调查。但这会将客户端凭据(OAuth中的所需)存储为纯文本文件。是否有安全的替代方案?不幸的是,根据Microsoft工作人员Curt Hagenlocher的说法,由于当前的“最新技术”,无法安全地保护这些凭据: 没有办法保护某人桌面上的秘密。这就是为什么一些OAuth提供商(如AAD)支持“本机应用程序”模式,其中有客户机id但没有秘密。该领域的最新开发是PKCE,我们的目标是在今年晚些时候为其提供示例代码 原则上,一个
您所说的纯文本文件的要点是否适用于
.mez.gitignore客户机id进行静态编码,因为这不太“必要”然后使用Key
的身份验证方法在用户凭证中保存client\u secret
?但这取决于您不需要同时进行用户登录。有用的链接:是的,纯文本密码被添加到.mez
文件中,这让我很烦恼。我甚至在Power BI desktop中查看了一个捆绑的mez
文件,发现它的客户端id和秘密硬编码为纯文本:(作为漏洞打开并提交给MSRC作为漏洞-为可见性投票!