配置文件 web.config 的配置节加密

时间:2022-09-15 11:28:06

ASP.NET 不对配置文件的请求提供服务,因为它们通常会包含敏感数据。不过即使有这样一个基本的限制,你可能还是希望加密配置文件节从而提高安全性。

 

ASP.NET 支持 2 种加密方式。

 

(1)RSA

RSA 提供程序允许穿件一组用于加密配置数据的密钥对。它的优点是可以在计算机间复制这些密钥。例如Web集群里的所有服务器使用相同的配置文件。

 

RSA 公钥加密算法是1977年由Ron Rivest、Adi Shamirh和LenAdleman在(美国麻省理工学院)开发的。RSA取名来自开发他们三者的名字。RSA是目前最有影响力的公钥加密算法,它能够抵抗到目前为止已知的所有密码攻击,已被ISO推荐为公钥数据加密标准。RSA算法基于一个十分简单的数论事实:将两个大素数相乘十分容易,但那时想要对其乘积进行因式分解却极其困难,因此可以将乘积公开作为加密密钥。

 

(2)DPAPI(Data Ptotection API)

DPAPI 使用内建到windows的保护机制。配置文件使用机器特定的密钥加密。它的优点是不必管理或维护密钥,缺点是不能够在其他计算机上使用同一个加密的配置文件。

 

编程加密 (DPAPI)

下面这个示例使应用程序的节在加密和解密状态中切换:(以 appSettings 为例)

protected void Page_Load(object sender, EventArgs e)
{
    Configuration config = WebConfigurationManager.OpenWebConfiguration(Request.ApplicationPath);
    ConfigurationSection appSettings = config.GetSection("appSettings");
    if (appSettings.SectionInformation.IsProtected)
    {
        appSettings.SectionInformation.UnprotectSection();
    }
    else
    {
        // DataProtectionConfigurationProvider 字串是DPAPI加密机制指定字串
        // DPAPI(Data Protection API)数据保护API
        appSettings.SectionInformation.ProtectSection("DataProtectionConfigurationProvider");
    }
    config.Save();
}

注意:

加密字符串(DataProtectionConfigurationProvider)是必需的,且不可随意乱改!

<appSettings configProtectionProvider="DataProtectionConfigurationProvider">
  <EncryptedData>
    <CipherData>
      <CipherValue>AQAAANCMnd8BFdERjHoAwE/Cl+sBAAAA/HtV1BGzmUyldkyb9Yn1LQQAAAACAAAAAAADZgAAq
      AAAABAAAAADKMkDU2WGDGFf7kP/c3j5AAAAAASAAACgAAAAEAAAABfeozGQaU0Dht65RJdchPXwAAAASxka
      YgcrqYwEQMBCtLpRsPQKksMmIVG99eCo70toyv/OwHBlDEvKcI241GDqNn7EpZIIf/V18DFzTORjJO4d
      is1xqrrZSIiG8MYpHPNtfo+phfDGALrn+QrYcITv8hW6vZcWGgXmlBYYBB8oExDYx08YWKm5AKs1pSsdeTArFhpO
      cPB/fcpfBFDb/ydYteWKTIgu2EuSVjDQ2sNMxIsn6WLcDr5M77VqgbBOrpSQyv8yUhn4SufzAQw+7q68fjzFr2MFIbTL+
      /CqhJHabp2lXb8YZbvOMgcF+qpow2tkdUNoYthnSGwYsPpRrwuCxaaxFAAAAAB5YN7PLb76QK9Eo5s3LTnJfmLv
      </CipherValue>
    </CipherData>
  </EncryptedData>
</appSettings>

加密后的<appSettings>节你已经看不出任何的原始信息了,包括设置的数目,设置的键名以及它的数据类型等。