在.NetCore中默認(rèn)使用DataProtection來保護(hù)數(shù)據(jù)，例如Cooike等。一般情況下DataProtection生成的密鑰會(huì)被加密后存儲(chǔ)，例如默認(rèn)的文件存儲(chǔ)

可以看到使用了Windows DPAPI加密。

但是如果更改默認(rèn)設(shè)置例如使用的外部存儲(chǔ)如redis則此時(shí)密鑰默認(rèn)是不加密的

微軟說明如下

警告密鑰未加密，這個(gè)時(shí)候如果redis被破解，系統(tǒng)的密鑰也就泄漏了。

微軟提供了2個(gè)接口IXmlEncryptor，IXmlDecryptor來實(shí)現(xiàn)密鑰的加密解密，下面使用AES來簡單現(xiàn)實(shí)，也可以替換為任何加密方式

調(diào)用也很簡單.ProtectKeysWithAES()即可

services.AddDataProtection().SetApplicationName("DataProtection").PersistKeysToStackExchangeRedis(ConnectionMultiplexer.Connect(RedisConnection), "DataProtection-Keys").ProtectKeysWithAES();

加密后的密鑰如下

注：在生成密鑰之前要?jiǎng)h除之前的密鑰，不然會(huì)使用舊密鑰而不生成新的密鑰直到密鑰過期。?

對(duì)于AES所使用密鑰也要進(jìn)行保護(hù)，可以使用第三方密鑰存儲(chǔ)庫如Azure 密鑰保管庫，或者也可以使用X509證書來來加密。

?github? https://github.com/saber-wang/DataProtection

原文地址:https://www.cnblogs.com/nasha/p/10260158.html

.NET社區(qū)新聞，深度好文，歡迎訪問公眾號(hào)文章匯總 http://www.csharpkit.com

總結(jié)

以上是生活随笔為你收集整理的.Net Core分布式部署中的DataProtection密钥安全性的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。