我很难理解数据保护API。
我想在群集环境(服务结构(中设置一些网络核心 Web 应用程序。以前,您要做的只是确保每台计算机在其 web.config 中具有相同的密钥。简单。使用新的数据保护API,它似乎有点(很多!(更多。
从此处的文档来看,它应该像使用适当的证书设置数据保护服务一样简单。
但是我尝试了这个:
public static void Main(string[] args)
{
// add data protection services
var serviceCollection = new ServiceCollection();
string thumbPrint = "XXXXXXXXXXXX";
serviceCollection.AddDataProtection()
.ProtectKeysWithDpapiNG($"CERTIFICATE=HashId:{thumbPrint}", flags: Microsoft.AspNetCore.DataProtection.XmlEncryption.DpapiNGProtectionDescriptorFlags.None);
var services = serviceCollection.BuildServiceProvider();
// create an instance of MyClass using the service provider
var instance = ActivatorUtilities.CreateInstance<MyClass>(services);
instance.RunSample();
}
public class MyClass
{
IDataProtector _protector;
// the 'provider' parameter is provided by DI
public MyClass(IDataProtectionProvider provider)
{
_protector = provider.CreateProtector("Contoso.MyClass.v1");
}
public void RunSample()
{
Console.Write("Enter input: ");
string input = Console.ReadLine();
// protect the payload
string protectedPayload = _protector.Protect(input);
Console.WriteLine($"Protect returned: {protectedPayload}");
// unprotect the payload
string unprotectedPayload = _protector.Unprotect(protectedPayload);
Console.WriteLine($"Unprotect returned: {unprotectedPayload}");
Console.ReadLine();
}
}
我只是得到一个例外
System.InvalidOperationException occurred
HResult=0x80131509
Message=No service for type 'Microsoft.AspNetCore.DataProtection.Repositories.IXmlRepository' has been registered.
经过一番挖掘后发现,这是因为没有为密钥指定持久存储。
这里有什么建议?我是否应该将密钥保存到某个中心位置(即可供我的所有应用程序使用的共享(。如果是这样,原因是什么?
您必须提供IXmlRepository的实现,该实现为数据保护 API 提供存储密钥的位置。ProtectKeysWith*() 指令保护静态密钥(基本上,在保存密钥之前对其进行加密!其他信息在这里。
我最终将密钥保存到 AzureStorage。更多信息在这里。
serviceCollection.AddDataProtection()
.ProtectKeysWithDpapiNG($"CERTIFICATE=HashId:{thumbPrint}", flags: Microsoft.AspNetCore.DataProtection.XmlEncryption.DpapiNGProtectionDescriptorFlags.None)
.PersistKeysToAzureBlobStorage(/* params */);
还值得注意的是,用于保护密钥的证书必须存储在证书存储中,并且运行应用程序的帐户必须具有读取访问权限。看这里。