「Open棟梁 wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
汎用認証サイト(Multi-purpose Authentication Site)
の導入前の評価を行うためのファーストステップガイド。
(5) では、「本番稼働前の最終チェック」を行う。
本番稼働前から本番稼働用設定でテストを行っておくことが望ましい。
以下を参考に変更する。
falseに設定する。
特に既に漏洩しているような、
などを、そのまま使用しないこと。
プロジェクトで使用しない機能( = 本番稼働前にテストしない機能)はswitchを使用してロックダウンさせておく。
JWT形式のAccess Tokenや、OpenID Connectを使用しているとき、
内部的には、X.509証明書を使用するが、こちらも本番用のモノを用意して使用する。
この処理は、主に、テスト時点を想定した処理なので、
必要に応じてアカウント初期化処理を削除する。
また、個別にロックダウンできない処理は、メソッドレベルでコメントアウトする。
例えば、非定型データの更新は可能だが、削除は実行させたくない場合など。
仮想パスの変更があった場合、以下のbaseUrlを変更する。
<script type="text/javascript"> // Resolve URL in the javascript var baseUrl = '/MultiPurposeAuthSite/' </script>