知識星球在.NetCore中預設使用DataProtection來保護資料,例如Cooike等。一般情況下DataProtection生成的金鑰會被加密後儲存,例如預設的檔案儲存
可以看到使用了Windows DPAPI加密。
但是如果更改預設設定例如使用的外部儲存如redis則此時金鑰預設是不加密的
微軟說明如下
警告金鑰未加密,這個時候如果redis被破解,系統的金鑰也就洩漏了。
微軟提供了2個介面IXmlEncryptor,IXmlDecryptor來實現金鑰的加密解密,下麵使用AES來簡單現實,也可以替換為任何加密方式
呼叫也很簡單.ProtectKeysWithAES()即可
services.AddDataProtection().SetApplicationName("DataProtection").PersistKeysToStackExchangeRedis(ConnectionMultiplexer.Connect(RedisConnection), "DataProtection-Keys").ProtectKeysWithAES();
加密後的金鑰如下
註:在生成金鑰之前要刪除之前的金鑰,不然會使用舊金鑰而不生成新的金鑰直到金鑰過期。
對於AES所使用金鑰也要進行保護,可以使用第三方金鑰儲存庫如Azure 金鑰保管庫,或者也可以使用X509證書來來加密。
github https://github.com/saber-wang/DataProtection
