DPAPI数据保护范围

Question

我对Microsoft做了一些研究，有一个问题似乎没有得到文档的回答。

我正在构建一个使用ProtectedData.Protect方法存储用户密码的测试web应用程序。文档指出，在大多数情况下，这些数据应该存储在CurrentUser的范围内，因为LocalMachine允许同一机器上下文中的任何人解密该信息(在本例中是用户密码)。

问题：那么，事情是这样的:这与运行web服务器(IIS)的机器用户或登录到web应用程序的用户相关的是什么用户上下文？( web应用程序使用Windows身份验证，在本例中是Active。)哪个范围将提供最安全的方案？

Answer 1

CurrentUser指的是执行进程的Windows用户，而不是通过身份验证的Windows用户，因此运行应用程序池的人将是Windows用户。例如网络服务、系统、指定用户等。