在 ASP.NET Core 中的密钥存储提供程序Key storage providers in ASP.NET Core

警告

如果指定了显式密钥持久性位置,数据保护系统注销 rest 机制,在默认密钥加密,因此不再静态加密密钥。建议你另外指定用于生产部署的显式密钥加密机制

若要配置基于文件系统的密钥存储库,请调用配置例程,如下所示。提供指向存储密钥的存储库的DirectoryInfo

可以指向本地计算机上的目录,也可以指向网络共享上的文件夹。如果指向本地计算机上的目录(并且方案为仅本地计算机上的应用需要使用此存储库的访问权限),请考虑使用 (在 windows 上)对静态密钥进行加密。否则,请考虑使用x.509 证书来加密静态密钥。

Azure 存储Azure Storage

AspNetCore. DataProtection. AzureStorage package 允许将数据保护密钥存储在 Azure Blob 存储中。可以在 web 应用的多个实例之间共享密钥。应用可以跨多个服务器共享身份验证 cookie 或 CSRF 保护。

若要配置 Azure Blob 存储提供程序,请调用重载之一。

  1. public void ConfigureServices(IServiceCollection services)
  2. {
  3.     services.AddDataProtection()
  4.         .PersistKeysToAzureBlobStorage(new Uri("<blob URI including SAS token>"));
  5. }

如果 web 应用作为 Azure 服务运行,则可以使用microsoft.azure.services.appauthentication自动创建身份验证令牌。

  1. var tokenProvider = new AzureServiceTokenProvider();
  2. var token = await tokenProvider.GetAccessTokenAsync("https://storage.azure.com/");
  3. var credentials = new StorageCredentials(new TokenCredential(token));
  4. var storageAccount = new CloudStorageAccount(credentials, "mystorageaccount", "core.windows.net", useHttps: true);
  5. var client = storageAccount.CreateCloudBlobClient();
  6. var container = client.GetContainerReference("my-key-container");
  8. await container.CreateIfNotExistsAsync();
  10. services.AddDataProtection()
  11.     .PersistKeysToAzureBlobStorage(container, "keys.xml");

查看

AspNetCore. DataProtection. Redis package 允许在 Redis 缓存中存储数据保护密钥。可以在 web 应用的多个实例之间共享密钥。应用可以跨多个服务器共享身份验证 cookie 或 CSRF 保护。

若要在 Redis 上进行配置,请调用重载之一:

若要在 Redis 上进行配置,请调用PersistKeysToRedis重载之一:

  1. public void ConfigureServices(IServiceCollection services)
  2. {
  3.     var redis = ConnectionMultiplexer.Connect("<URI>");
  4.     services.AddDataProtection()
  6. }

有关详情,请参阅以下主题:

注册表Registry

仅适用于 Windows 部署。

有时应用程序可能没有到文件系统的写访问权限。请考虑一个应用以虚拟服务帐户(例如w3wp.exe的应用程序池标识)运行的方案。在这些情况下,管理员可以预配的服务帐户标识都可访问的注册表项。调用扩展方法,如下所示。提供一个RegistryKey ,指向应存储加密密钥的位置:

  1. public void ConfigureServices(IServiceCollection services)
  2. {
  3.     services.AddDataProtection()
  4.         .PersistKeysToRegistry(Registry.CurrentUser.OpenSubKey(@"SOFTWARE\Sample\keys"));
  5. }

重要

建议使用来加密静态密钥。

通过此包,可以在 web 应用的多个实例之间共享密钥。

若要配置 EF Core 提供程序,请调用PersistKeysToDbContext<TContext >方法:

若要查看翻译为非英语语言的代码注释,请在 中告诉我们。

泛型参数 TContext必须继承自DbContext并实现:

  1. using Microsoft.AspNetCore.DataProtection.EntityFrameworkCore;
  2. using WebApp1.Data;
  4. namespace WebApp1
  5. {
  6.     class MyKeysContext : DbContext, IDataProtectionKeyContext
  7.     {
  8.         // A recommended constructor overload when using EF Core 
  9.         // with dependency injection.
  10.         public MyKeysContext(DbContextOptions<MyKeysContext> options) 
  11.             : base(options) { }
  14.         public DbSet<DataProtectionKey> DataProtectionKeys { get; set; }
  15.     }
  16. }

创建 DataProtectionKeys 表。

在 "包管理器控制台" (PMC)窗口中执行以下命令:

  1. Add-Migration AddDataProtectionKeys -Context MyKeysContext
  2. Update-Database -Context MyKeysContext

在命令行界面中执行以下命令:

MyKeysContext 是前面的代码示例中定义的 DbContext如果你使用的是其他名称的 DbContext,请将 DbContext 名称替换为 MyKeysContext

自定义密钥存储库Custom key repository

如果不适合使用机箱内机制,开发人员可以通过提供自定义来指定其自己的密钥持久性机制。