我遇到了与DataProtectionProvider有关的问题,首先我们只有2个.NET框架项目,现在添加了一个.NET Core Project,这使我感到困惑,使我感到困惑:生成以下内容:生成来自.NET Framework项目的密码重置链接,并在.NET Core项目中使用它。两者都使用相同的数据库和用户表,它们彼此兼容。.NET Framework仍然是Code-First数据库生成中的领先项目。
在两个.NET Frameworks项目中,我都使用一个共享代码库,该代码库具有以下代码:
//not sure where I got this from but it is part of the solution for solving
//password link generating and using in two different applications.
public class MachineKeyProtectionProvider : IDataProtectionProvider
{
public IDataProtector Create(params string[] purposes)
{
return new MachineKeyDataProtector(purposes);
}
}
public class MachineKeyDataProtector : IDataProtector
{
private readonly string[] _purposes;
public MachineKeyDataProtector(string[] purposes)
{
_purposes = purposes;
}
public byte[] Protect(byte[] userData)
{
return MachineKey.Protect(userData, _purposes);
}
public byte[] Unprotect(byte[] protectedData)
{
return MachineKey.Unprotect(protectedData, _purposes);
}
}
然后在用户存储库中:
private readonly UserManager<ApplicationUser> _userManager = null;
private readonly RoleManager<IdentityRole> _roleManager = null;
internal static IDataProtectionProvider DataProtectionProvider { get; private set; }
public UserRepository(DatabaseContext dbContext)
{
_userManager = new UserManager<ApplicationUser>(new UserStore<ApplicationUser>(dbContext));
_roleManager = new RoleManager<IdentityRole>(new RoleStore<IdentityRole>(dbContext));
_userManager.UserValidator = new UserValidator<ApplicationUser>(_userManager) { AllowOnlyAlphanumericUserNames = false };
if (DataProtectionProvider == null)
{
DataProtectionProvider = new MachineKeyProtectionProvider();
}
_userManager.UserTokenProvider = new DataProtectorTokenProvider<ApplicationUser, string>(DataProtectionProvider.Create("Identity"));
}
在两个.NET框架项目中,我都有一个<machineKey>。之后,我可以简单地使用:
public string GeneratePasswordResetCode(string userId)
{
return _userManager.GeneratePasswordResetToken(userId);
}
public void ChangeUserPassword(string oldPassword, string newPassword)
{
string id = InfrastructureUserHelper.User.GetUserId();
IdentityResult result = _userManager.ChangePassword(id, oldPassword, newPassword);
...
}
因此,现在添加了一个.NET核心项目,该项目已经具有自己的密码重置机制,但是所有自动化作业都是从.NET框架项目之一发送的。原因是用户应该为自动创建的帐户设置密码。
我该怎么做?我一直在看:https://lealen.microsoft.com/en-us/aspnet/core/security/data-protection/configuration/overview?tabs = aspnetcore2x这是:如何在ASP.NET Core 2.0
中实现MachineKey,但我无法真正弄清简单简单解决方案是什么。我更喜欢避免创建额外的Redis服务器。类似于机器密钥的东西可以完成这项工作。我尝试从本文档开始,但我无法真正弄清.NET核心项目中的哪个部分以及.NET Framework项目的哪个部分。
。我已经尝试在迄今没有运气的情况下玩这个部分:
public void ConfigureServices(IServiceCollection services)
{
services.AddDataProtection().SetApplicationName("Identity")
.SetDefaultKeyLifetime(TimeSpan.FromDays(60))
.ProtectKeysWithDpapi();
services.AddIdentity<ApplicationUser, ApplicationRole>().AddDefaultTokenProviders();
}
编辑:最终,我可以使用斑点存储,查看此页面:https://lealen.microsoft.com/en-us/aspnet/core/security/data-protection/configuration/overview?tabs = aspnetcore2x
添加此功能似乎有所帮助,两个应用程序都可以运行良好,但是在.NET Framework项目中仍未使用正确的DataProtectionProvider。UserManager找不到它(没有ItokenProvider错误(。
最终,我有点放弃并将令牌存储在用户数据库中完全不是理想的,但是花了很多时间尝试解决一些无证件的事情。-1对于Microsoft。
数据保护API在.NET Framework和.Net Core。
而不是机器键,而是使用X509证书而不是旧机器键方法加密键。由于加密纯粹是用于内部用途的,因此可以自我生成的证书。
重要:如果控制服务器,则必须在证书存储中安装证书。使用ProtectWithCertificate过载可以接受X509证书实例:它只能将该实例用于 egrypt 。如果证书不在商店中,解密会失败。微软声称这是"基础框架"的一定限制,无论这意味着什么,但是解决方法可用(而不是复杂(。我对此使用了一个变体,并且证书已序列为Azure键值,因此我们不必触摸每个服务器。
您还需要指定DPAPI持久性选项之一,以确保所有服务器都可以访问数据。由于我们使用的是Azure,因此我下面的代码使用BLOB存储,但是如果您正在运行自己的服务器,则可以通过PersistKeysToFileSystem共享网络。
我在ConfigureServices中的设置看起来像:
var x509 = GetDpApiCert(); // library utility
var container = GetBlobStorageRef(); // library
services.AddDataProtection()
.SetApplicationName(appconfig["DpapiSiteName"])
.ProtectKeysWithProvidedCertificate(x509)
.PersistKeysToAzureBlobStorage(container, appconfig["DpapiFileName"]);
这是我生成证书的PowerShell脚本:
[CmdletBinding()]
param(
[Parameter(Mandatory=$true)][string]$password = "",
[Parameter(Mandatory=$true)][string]$rootDomain = ""
)
$cwd = Convert-Path .
$CerFile = "$cwdaspnet_dpapi.cer"
$PfxFile = "$cwdaspnet_dpapi.pfx"
# abort if files exist
if((Test-Path($PfxFile)) -or (Test-Path($CerFile)))
{
Write-Warning "Failed, aspnet_dpapi already exists in $cwd"
Exit
}
$cert = New-SelfSignedCertificate `
-Subject $rootDomain `
-DnsName $rootDomain `
-FriendlyName "ASP.NET Data Protection $rootDomain" `
-NotBefore (Get-Date) `
-NotAfter (Get-Date).AddYears(10) `
-CertStoreLocation "cert:CurrentUserMy" `
-KeyAlgorithm RSA `
-Provider "Microsoft Enhanced RSA and AES Cryptographic Provider" `
-KeyLength 2048 `
-KeyUsage KeyEncipherment, DataEncipherment
# -HashAlgorithm SHA256 `
# -Type Custom,DocumentEncryptionCert `
# -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.1")
$store = 'Cert:CurrentUserMy' + ($cert.ThumbPrint)
$securePass = ConvertTo-SecureString -String $password -Force -AsPlainText
Export-Certificate -Cert $store -FilePath $CerFile
Export-PfxCertificate -Cert $store -FilePath $PfxFile -Password $securePass