歡迎光臨
每天分享高質量文章

.Net Core分佈式部署中的DataProtection密鑰安全性

在.NetCore中預設使用DataProtection來保護資料,例如Cooike等。一般情況下DataProtection生成的密鑰會被加密後儲存,例如預設的檔案儲存

可以看到使用了Windows DPAPI加密。

但是如果更改預設設置例如使用的外部儲存如redis則此時密鑰預設是不加密的

微軟說明如下

警告密鑰未加密,這個時候如果redis被破解,系統的密鑰也就泄漏了。

微軟提供了2個接口IXmlEncryptor,IXmlDecryptor來實現密鑰的加密解密,下麵使用AES來簡單現實,也可以替換為任何加密方式

呼叫也很簡單.ProtectKeysWithAES()即可

  services.AddDataProtection().SetApplicationName("DataProtection").PersistKeysToStackExchangeRedis(ConnectionMultiplexer.Connect(RedisConnection), "DataProtection-Keys").ProtectKeysWithAES();

加密後的密鑰如下

註:在生成密鑰之前要刪除之前的密鑰,不然會使用舊密鑰而不生成新的密鑰直到密鑰過期。

對於AES所使用密鑰也要進行保護,可以使用第三方密鑰儲存庫如Azure 密鑰保管庫,或者也可以使用X509證書來來加密。

 github  https://github.com/saber-wang/DataProtection

赞(0)

分享創造快樂