Blazor Server可通过IConfiguration或IOptions读取服务端appsettings.json中的连接字符串,而Blazor WebAssembly因运行在浏览器中,绝不可存放或读取连接字符串,必须通过后端API访问数据库,确保敏感信息仅存在于服务端安全存储中。
Blazor 本身不直接读取配置,关键看运行模式:服务端(Blazor Server)和客户端(Blazor WebAssembly)处理方式完全不同。连接字符串通常只在服务端可用,WebAssembly 因运行在浏览器中,无法安全访问服务器配置。
Blazor Server:通过依赖注入读取连接字符串
服务端项目结构和 ASP.net Core mvc/Minimal API 类似,可直接使用 IConfiguration 或类型化配置。
- 确保
appsettings.json中已定义连接字符串,例如:
“ConnectionStrings”: {
“DefaultConnection”: “Server=…;database=…;Trusted_Connection=true;”
}
- 在
Program.cs中注册服务时,自动加载配置(默认已启用) - 在组件(如
.razor文件)中用@inject IConfiguration Configuration - 读取:@Configuration.GetConnectionString(“DefaultConnection”)
- 更推荐方式是创建强类型配置类 +
IOptions<youroptions></youroptions>注入,便于测试和维护
Blazor WebAssembly:不能直接读取服务器 appsettings.json
WebAssembly 应用在浏览器中运行,appsettings.json 是公开的静态资源(可通过浏览器直接访问),所以绝不能把生产连接字符串放在这里。
- 开发阶段可放
appsettings.Development.json用于模拟,但仅限本地调试 - 真实数据库访问必须通过后端 API,由服务端控制连接和权限
- 前端只调用 API(如
HttpClient.GetAsync("api/products")),不碰连接字符串 - 若需区分环境,可用
NavigationManager.BaseUri或构建时替换变量(如 MSBuild 的DefineConstants)
安全提醒:连接字符串永远不要暴露给前端
哪怕加密、混淆或动态拼接,在浏览器里都等于公开。攻击者可轻松调试、抓包、反编译获取任何客户端代码中的敏感信息。
- 连接字符串属于服务端机密,应存于
appsettings.Production.json、azure Key Vault、docker secrets 等安全位置 - WebAssembly 应用的身份认证、数据访问,全部委托给受控的后端 API
- 如果真需要“前端配置化”,只允许传非敏感标识(如租户 ID、API 路由前缀),由后端映射到对应连接
基本上就这些。核心记住:Blazor Server 可读,Blazor WebAssembly 不该读、也不能读——不是技术限制,而是安全铁律。