歡迎光臨
每天分享高質量文章

.Net Core分散式部署中的DataProtection金鑰安全性

在.NetCore中預設使用DataProtection來保護資料,例如Cooike等。一般情況下DataProtection生成的金鑰會被加密後儲存,例如預設的檔案儲存

可以看到使用了Windows DPAPI加密。

但是如果更改預設設定例如使用的外部儲存如redis則此時金鑰預設是不加密的

微軟說明如下

警告金鑰未加密,這個時候如果redis被破解,系統的金鑰也就洩漏了。

微軟提供了2個介面IXmlEncryptor,IXmlDecryptor來實現金鑰的加密解密,下麵使用AES來簡單現實,也可以替換為任何加密方式

呼叫也很簡單.ProtectKeysWithAES()即可

  services.AddDataProtection().SetApplicationName("DataProtection").PersistKeysToStackExchangeRedis(ConnectionMultiplexer.Connect(RedisConnection), "DataProtection-Keys").ProtectKeysWithAES();

加密後的金鑰如下

註:在生成金鑰之前要刪除之前的金鑰,不然會使用舊金鑰而不生成新的金鑰直到金鑰過期。

對於AES所使用金鑰也要進行保護,可以使用第三方金鑰儲存庫如Azure 金鑰保管庫,或者也可以使用X509證書來來加密。

 github  https://github.com/saber-wang/DataProtection

贊(0)

分享創造快樂