SharePoint Online - Inhalts-Editor-Webpart - Geheimverwaltung

Question

Ich bin ein C# -Software-Typ von Tag und ein SharePoint-Anfänger. Ich verwende ein Inhalts-Editor-Webpart mit SharePoint Online und weiß nicht, wie ich Geheimnisse sicher speichern kann. Meine SharePoint-App muss mit einer anderen Anwendung kommunizieren und todo, so dass ich benutzerdefinierte Anmeldeinformationen verwenden muss. Da ich in der Dev-Phase bin, kann ich die Creds in meinen Type Script-Dateien fest codieren, aber das ist nicht das, was ich langfristig möchte.

Meine Frage ist, ob jemand kann mich durch die richtige Strategie zum Speichern von Geheimnissen mit SharePoint Online-Inhalts-Editor-Webparts gehen, um von der TypeScript/JavaScript konsumiert werden.

Dank

Answer 1

Ganz ehrlich, wäre die richtige Strategie JavaScript haupt nicht für sensible API-Aufrufe zu verwenden. Empfindliche API-Aufrufe sollten nur serverseitig erfolgen (damit "geheime" Schlüssel, Passwörter usw. niemals den Browser erreichen).

Das Problem mit einem geheimen Wert irgendwo zu speichern und darauf mit JavaScript zuzugreifen ist, dass JavaScript den Wert irgendwo auf dem Weg entschlüsseln müsste, um es zu benutzen. Das bedeutet, dass ein erfahrener Benutzer den Quellcode für Ihre Seite anzeigen, die JS-Tools des Browsers öffnen und dieselben Befehle ausführen kann, um den Wert abzurufen. Nicht gut für die Sicherheit.

Vor-Ort-SharePoint hat tatsächlich eine Lösung für diesen Secure Store Service genannt, aber ein Teil der Gründe dafür ist, dass es für die Verwendung in serverseitigem Code entwickelt wurde. Bis jetzt hat Microsoft keine clientseitige API für diesen Dienst in SharePoint Online veröffentlicht (wahrscheinlich, weil die Verwendung mit JS weniger sicher wäre, wie ich bereits erwähnte).

Die "richtige" Strategie hängt von Ihren Zielen ab. Sie haben mindestens 2 Optionen bekam:

1. Wenn Sie echte Sicherheit wollen für Ihren geheimen Schlüssel/Passwort/was auch immer, dann würden Sie eine Sharepoint Online entwickeln müssen „Hosted Add-In“, die auf einem anderen lebt Server oder ein Cloud-Dienst wie Azure. SharePoint stellt "App Parts" zur Verfügung, die gehostete Add-Ins mit Iframes umhüllen und Sie zu einer Seite hinzufügen können. Auf diese Weise können Sie Ihre App einer SharePoint-Seite hinzufügen und Ergebnisse eines API-Aufrufs anzeigen lassen (ähnlich wie ein Inhalts-Editor-Webpart würde aussehen).
2. Wenn Sie nicht brauchen echte Sicherheit und "Sicherheit durch Dunkelheit" ist gut genug, dann würde ich empfehlen, den geheimen Wert in einer SharePoint-Liste speichern und einige "gefälschte" Verschlüsselung wie Base64-Codierung. Entschlüsseln Sie den Wert in JavaScript, nachdem Sie ihn aus der Liste gelesen haben. Wenn Sie noch mehr Unklarheiten hinzufügen möchten, können Sie PowerShell oder JavaScript verwenden, um die Liste ausgeblendet zu machen, damit Benutzer sie nicht in ihrem Browser sehen, aber das bedeutet auch, dass Sie Werte über Code hinzufügen/bearbeiten müssen.