Asp.netcore学习笔记(Dataprotection)

参考 : 

http://www.cnblogs.com/xishuai/p/aspnet-5-identity-part-one.html

http://cnblogs.com/xishuai/p/aspnet-5-or-core1--identity-part-two.html

https://cnblogs.com/savorboard/p/dotnetcore-data-protection.html

http://cnblogs.com/savorboard/p/dotnet-core-data-protection.html

https://cnblogs.com/savorboard/p/dotnetcore-data-protected-farm.html

https://docs.microsoft.com/en-us/aspnet/core/security/data-protection/implementation/key-storage-providers?view&＃61;aspnetcore-2.1

https://docs.microsoft.com/en-us/aspnet/core/security/data-protection/?view&＃61;aspnetcore-2.1

Data protection 主要用于 asp.net core 加密, 解密, 哈希.

先说说哈希, 通常用于做用户密码散列 (会有随机盐), 都封装好了&＃xff0c;很方便. 

加密&＃xff0c;解密主要是用于对称加密. 比如用户登入后的 COOKIEs 等.

加密&＃xff0c;解密会依赖 key, 在 .net 4.x 我们使用 web.config machine key 来做. 

做法简单&＃xff0c;如果多架机器&＃xff0c;只要 machine key 一样那么大家都能通用加密解密. 

asp.net core 把 machine key 拿掉了. 

现在比较麻烦. data protection 会生产一个 key...xml 的文档 

里面会有动态制作的 machine key, 还会有 expiry date ( 默认 90天 ).

当要加密信息时, data protection.protect(&＃39;message&＃39;); 它会用最新的 machine key. 

所以我们最后会有好多的 machine key, 当解密的时候, 它会尝试用所有的 machine key 去解密, 如果解密成功, 还可以顺便用新的 machine key 加密哦. 

此外, machine key 还可以被加密. 比如使用 windows.DPAPI 或则 azure key-vault 的 key.

这样 key..xml 里就看不出 machine key 了. 

那要怎样实现多 machine 呢 &＃xff1f; copy paste key..xml 去每架机器吗 &＃xff1f;

当然不要, 最好是使用一个 share folder, 每架机器都可以访问的到, 例如放在云里面 Azure blob storage.

配置 : 

用 Azure 

如果使用文件夹, 每一次 key expiry 后会创建一个新的 key..xml 文件, 如果使用 Azure, 它会在原本的 key..xml 里继续添加新的 key 而不是创建一个新的文件. 

特别说多一下 Azure 

首先是需要一个 key, 上一篇的 Azure key-vault,  做一个 appclient appsecret 然后 create key set permission (access policy 添加 application 进来, 还有 set allow warkey 等等)  最后有了 url &＃43; clientid &＃43; client secret 就行了, 

然后还需要一个 storage 放 xml, 开一个 blob 然后去弄 SAS token 就可以了. 也是记得 set permission read write edit, for 第一次的 xml 用 local 的方法 generate sql 先, 然后 upload to blob 在换去 store to azure 就可以了.

sas

注意这个签名的 key 哦

在 access key 里面可以换掉它的&＃xff0c; refresh 之后, 依赖它的 sas 就不可以用了哦。小心哦.