ASP.NET 不对配置文件的请求提供服务,因为它们通常会包含敏感数据。不过即使有这样一个基本的限制,你可能还是希望加密配置文件节从而提高安全性。
ASP.NET 支持 2 种加密方式。
(1)RSA
RSA 提供程序允许穿件一组用于加密配置数据的密钥对。它的优点是可以在计算机间复制这些密钥。例如Web集群里的所有服务器使用相同的配置文件。
RSA 公钥加密算法是1977年由Ron Rivest、Adi Shamirh和LenAdleman在(美国麻省理工学院)开发的。RSA取名来自开发他们三者的名字。RSA是目前最有影响力的公钥加密算法,它能够抵抗到目前为止已知的所有密码攻击,已被ISO推荐为公钥数据加密标准。RSA算法基于一个十分简单的数论事实:将两个大素数相乘十分容易,但那时想要对其乘积进行因式分解却极其困难,因此可以将乘积公开作为加密密钥。
(2)DPAPI(Data Ptotection API)
DPAPI 使用内建到windows的保护机制。配置文件使用机器特定的密钥加密。它的优点是不必管理或维护密钥,缺点是不能够在其他计算机上使用同一个加密的配置文件。
编程加密 (DPAPI)
下面这个示例使应用程序的节在加密和解密状态中切换:(以 appSettings 为例)
protected void Page_Load(object sender, EventArgs e)
{
Configuration config = WebConfigurationManager.OpenWebConfiguration(Request.ApplicationPath);
ConfigurationSection appSettings = config.GetSection("appSettings");
if (appSettings.SectionInformation.IsProtected)
{
appSettings.SectionInformation.UnprotectSection();
}
else
{
// DataProtectionConfigurationProvider 字串是DPAPI加密机制指定字串
// DPAPI(Data Protection API)数据保护API
appSettings.SectionInformation.ProtectSection("DataProtectionConfigurationProvider");
}
config.Save();
}
注意:
加密字符串(DataProtectionConfigurationProvider)是必需的,且不可随意乱改!
<appSettings configProtectionProvider="DataProtectionConfigurationProvider">
<EncryptedData>
<CipherData>
<CipherValue>AQAAANCMnd8BFdERjHoAwE/Cl+sBAAAA/HtV1BGzmUyldkyb9Yn1LQQAAAACAAAAAAADZgAAq
AAAABAAAAADKMkDU2WGDGFf7kP/c3j5AAAAAASAAACgAAAAEAAAABfeozGQaU0Dht65RJdchPXwAAAASxka
YgcrqYwEQMBCtLpRsPQKksMmIVG99eCo70toyv/OwHBlDEvKcI241GDqNn7EpZIIf/V18DFzTORjJO4d
is1xqrrZSIiG8MYpHPNtfo+phfDGALrn+QrYcITv8hW6vZcWGgXmlBYYBB8oExDYx08YWKm5AKs1pSsdeTArFhpO
cPB/fcpfBFDb/ydYteWKTIgu2EuSVjDQ2sNMxIsn6WLcDr5M77VqgbBOrpSQyv8yUhn4SufzAQw+7q68fjzFr2MFIbTL+
/CqhJHabp2lXb8YZbvOMgcF+qpow2tkdUNoYthnSGwYsPpRrwuCxaaxFAAAAAB5YN7PLb76QK9Eo5s3LTnJfmLv
</CipherValue>
</CipherData>
</EncryptedData>
</appSettings>
加密后的<appSettings>节你已经看不出任何的原始信息了,包括设置的数目,设置的键名以及它的数据类型等。