文档章节

ASP.NET Core 数据保护(Data Protection 集群场景)【下】

丁川
 丁川
发布于 2016/10/18 10:37
字数 2371
阅读 25
收藏 0
点赞 0
评论 0

前言

接【中篇】,在有一些场景下,我们需要对 ASP.NET Core 的加密方法进行扩展,来适应我们的需求,这个时候就需要使用到了一些 Core 提供的高级的功能。

本文还列举了在集群场景下,有时候我们需要实现自己的一些方法来对Data Protection进行分布式配置。

加密扩展

IAuthenticatedEncryptor 和 IAuthenticatedEncryptorDescriptor

IAuthenticatedEncryptor是 Data Protection 在构建其密码加密系统中的一个基础的接口。
一般情况下一个key 对应一个IAuthenticatedEncryptorIAuthenticatedEncryptor封装了加密操作中需要使用到的秘钥材料和必要的加密算法信息等。

下面是IAuthenticatedEncryptor接口提供的两个 api方法:

Decrypt(ArraySegment<byte> ciphertext, ArraySegment<byte> additionalAuthenticatedData) : byte[]
Encrypt(ArraySegment<byte> plaintext, ArraySegment<byte> additionalAuthenticatedData) : byte[]

其中接口中的参数additionalAuthenticatedData表示在构建加密的时候提供的一些附属信息。

IAuthenticatedEncryptorDescriptor接口提供了一个创建包含类型信息IAuthenticatedEncryptor实例方法。

CreateEncryptorInstance() : IAuthenticatedEncryptor
ExportToXml() : XmlSerializedDescriptorInfo

密钥管理扩展

在密钥系统管理中,提供了一个基础的接口IKey,它包含以下属性:

Activation
creation
expiration dates
Revocation status
Key identifier (a GUID)

IKey还提供了一个创建IAuthenticatedEncryptor实例的方法CreateEncryptorInstance。

IKeyManager接口提供了一系列用来操作Key的方法,包括存储,检索操作等。他提供的高级操作有:

  • 创建一个Key 并且持久存储
  • 从存储库中获取所有的 Key
  • 撤销保存到存储中的一个或多个键

XmlKeyManager
通常情况下,开发人员不需要去实现IKeyManager来自定义一个 KeyManager。我们可以使用系统默认提供的XmlKeyManager类。

XMLKeyManager是一个具体实现IKeyManager的类,它提供了一些非常有用的方法。

public sealed class XmlKeyManager : IKeyManager, IInternalXmlKeyManager
{
    public XmlKeyManager(IXmlRepository repository, IAuthenticatedEncryptorConfiguration configuration, IServiceProvider services);

    public IKey CreateNewKey(DateTimeOffset activationDate, DateTimeOffset expirationDate);
    public IReadOnlyCollection<IKey> GetAllKeys();
    public CancellationToken GetCacheExpirationToken();
    public void RevokeAllKeys(DateTimeOffset revocationDate, string reason = null);
    public void RevokeKey(Guid keyId, string reason = null);
}
  • IAuthenticatedEncryptorConfiguration 主要是规定新 Key 使用的算法。
  • IXmlRepository 主要控制 Key 在哪里持久化存储。

IXmlRepository

IXmlRepository接口主要提供了持久化以及检索XML的方法,它只要提供了两个API:

  • GetAllElements() : IReadOnlyCollection
  • StoreElement(XElement element, string friendlyName)

我们可以通过实现IXmlRepository接口的StoreElement方法来定义data protection xml的存储位置。

GetAllElements来检索所有存在的加密的xml文件。

接口部分写到这里吧,因为这一篇我想把重点放到下面,更多接口的介绍大家还是去官方文档看吧~

集群场景

上面的API估计看着有点枯燥,那我们就来看看我们需要在集群场景下借助于Data Protection来做点什么吧。

就像我在【上篇】总结中末尾提到的,在做分布式集群的时候,Data Protection的一些机制我们需要知道,因为如果不了解这些可能会给你的部署带来一些麻烦,下面我们就来看看吧。

在做集群的时,我们必须知道并且明白关于 ASP.NET Core Data Protection 的三个东西:

1、程序识别者

“Application discriminator”,它是用来标识应用程序的唯一性。
为什么需要这个东西呢?因为在集群环境中,如果不被具体的硬件机器环境所限制,就要排除运行机器的一些差异,就需要抽象出来一些特定的标识,来标识应用程序本身并且使用该标识来区分不同的应用程序。这个时候,我们可以指定ApplicationDiscriminator

services.AddDataProtection(DataProtectionOptions option)的时候,ApplicationDiscriminator可以作为参数传递,来看一下代码:

public void ConfigureServices(IServiceCollection services) 
{
    services.AddDataProtection();

    services.AddDataProtection(DataProtectionOptions option);
}

//===========扩展方法如下:

public static class DataProtectionServiceCollectionExtensions
{
    public static IDataProtectionBuilder AddDataProtection(this IServiceCollection services);
    
    //具有可传递参数的重载,在集群环境中需要使用此项配置
    public static IDataProtectionBuilder AddDataProtection(this IServiceCollection services, Action<DataProtectionOptions> setupAction);
}

// DataProtectionOptions 属性:
public class DataProtectionOptions
{
    public string ApplicationDiscriminator { get; set; }
}

可以看到这个扩展返回的是一个IDataProtectionBuilder,在IDataProtectionBuilder还有一个扩展方法叫 SetApplicationName ,这个扩展方法在内部还是修改的ApplicationDiscriminator的值。也就说以下写法是等价的:

services.AddDataProtection(x => x.ApplicationDiscriminator = "my_app_sample_identity");

services.AddDataProtection().SetApplicationName("my_app_sample_identity");

也就是说集群环境下同一应用程序他们需要设定为相同的值(ApplicationName or ApplicationDiscriminator)。

2、主加密键

“Master encryption key”,主要是用来加密解密的,包括一客户端服务器在请求的过程中的一些会话数据,状态等。有几个可选项可以配置,比如使用证书或者是windows DPAPI或者注册表等。如果是非windows平台,注册表和Windows DPAPI就不能用了。

public void ConfigureServices(IServiceCollection services) 
{
    services.AddDataProtection()
    
    //windows dpaip 作为主加密键
    .ProtectKeysWithDpapi()
    
    //如果是 windows 8+ 或者windows server2012+ 可以使用此选项(基于Windows DPAPI-NG)
    .ProtectKeysWithDpapiNG("SID={current account SID}", DpapiNGProtectionDescriptorFlags.None)
    
    //如果是 windows 8+ 或者windows server2012+ 可以使用此选项(基于证书)
    .ProtectKeysWithDpapiNG("CERTIFICATE=HashId:3BCE558E2AD3E0E34A7743EAB5AEA2A9BD2575A0", DpapiNGProtectionDescriptorFlags.None)
    
    //使用证书作为主加密键,目前只有widnows支持,linux还不支持。
    .ProtectKeysWithCertificate();
}

如果在集群环境中,他们需要具有配置相同的主加密键。

3、加密后存储位置

在【上篇】的时候说过,默认情况下Data Protection会生成 xml 文件用来存储session或者是状态的密钥文件。这些文件用来加密或者解密session等状态数据。

就是上篇中说的那个私钥存储位置:

1、如果程序寄宿在 Microsoft Azure下,存储在“%HOME%\ASP.NET\DataProtection-Keys” 文件夹。
2、如果程序寄宿在IIS下,它被保存在HKLM注册表的ACLed特殊注册表键,并且只有工作进程可以访问,它使用windows的DPAPI加密。
3、如果当前用户可用,即win10或者win7中,它存储在“%LOCALAPPDATA%\ASP.NET\DataProtection-Keys”文件夹,同样使用的windows的DPAPI加密。
4、如果这些都不符合,那么也就是私钥是没有被持久化的,也就是说当进程关闭的时候,生成的私钥就丢失了。

集群环境下:
最简单的方式是通过文件共享、DPAPI或者注册表,也就是说把加密过后的xml文件都存储在相同的地方。为什么说最简单,因为系统已经给封装好了,不需要写多余的代码了,但是要保证文件共享相关的端口是开放的。如下:

public void ConfigureServices(IServiceCollection services) 
{
    services.AddDataProtection()
    //windows、Linux、macOS 下可以使用此种方式 保存到文件系统
    .PersistKeysToFileSystem(new System.IO.DirectoryInfo("C:\\share_keys\\"))
    //windows 下可以使用此种方式  保存到注册表
    .PersistKeysToRegistry(Microsoft.Win32.RegistryKey.FromHandle(null)) 
}

你也可以自己扩展方法来自己定义一些存储,比如使用数据库或者Redis等。

不过通常情况下,如果在linux上部署的话,都是需要扩展的。下面来看一下我们想要用redis存储,该怎么做呢?

如何扩展加密键集合的存储位置?

首先,定义个针对IXmlRepository接口的 redis 实现类RedisXmlRepository.cs

public class RedisXmlRepository : IXmlRepository, IDisposable
{

    public static readonly string RedisHashKey = "DataProtectionXmlRepository";
    
    private IConnectionMultiplexer _connection;
    
    private bool _disposed = false;
    
    public RedisXmlRepository(string connectionString, ILogger<RedisXmlRepository> logger)
        : this(ConnectionMultiplexer.Connect(connectionString), logger)
    {
    }
    
    public RedisXmlRepository(IConnectionMultiplexer connection, ILogger<RedisXmlRepository> logger)
    {
        if (connection == null)
        {
            throw new ArgumentNullException(nameof(connection));
        }
    
        if (logger == null)
        {
            throw new ArgumentNullException(nameof(logger));
        }
    
        this._connection = connection;
        this.Logger = logger;
    
        var configuration = Regex.Replace(this._connection.Configuration, @"password\s*=\s*[^,]*", "password=****", RegexOptions.IgnoreCase);
        this.Logger.LogDebug("Storing data protection keys in Redis: {RedisConfiguration}", configuration);
    }
    
    public ILogger<RedisXmlRepository> Logger { get; private set; }
    
    public void Dispose()
    {
        this.Dispose(true);
    }
    public IReadOnlyCollection<XElement> GetAllElements()
    {
        var database = this._connection.GetDatabase();
        var hash = database.HashGetAll(RedisHashKey);
        var elements = new List<XElement>();
    
        if (hash == null || hash.Length == 0)
        {
            return elements.AsReadOnly();
        }
    
        foreach (var item in hash.ToStringDictionary())
        {
            elements.Add(XElement.Parse(item.Value));
        }
    
        this.Logger.LogDebug("Read {XmlElementCount} XML elements from Redis.", elements.Count);
        return elements.AsReadOnly();
    }
    
    public void StoreElement(XElement element, string friendlyName)
    {
        if (element == null)
        {
            throw new ArgumentNullException(nameof(element));
        }
    
        if (string.IsNullOrEmpty(friendlyName))
        {
            friendlyName = Guid.NewGuid().ToString();
        }
    
        this.Logger.LogDebug("Storing XML element with friendly name {XmlElementFriendlyName}.", friendlyName);
    
        this._connection.GetDatabase().HashSet(RedisHashKey, friendlyName, element.ToString());
    }
    protected virtual void Dispose(bool disposing)
    {
        if (!this._disposed)
        {
            if (disposing)
            {
                if (this._connection != null)
                {
                    this._connection.Close();
                    this._connection.Dispose();
                }
            }
    
            this._connection = null;
            this._disposed = true;
        }
    }
}

然后任意一个扩展类中先定义一个扩展方法:

public static IDataProtectionBuilder PersistKeysToRedis(this IDataProtectionBuilder builder, string redisConnectionString)
{
    if (builder == null)
    {
        throw new ArgumentNullException(nameof(builder));
    }

    if (redisConnectionString == null)
    {
        throw new ArgumentNullException(nameof(redisConnectionString));
    }

    if (redisConnectionString.Length == 0)
    {
        throw new ArgumentException("Redis connection string may not be empty.", nameof(redisConnectionString));
    }
    
    //因为在services.AddDataProtection()的时候,已经注入了IXmlRepository,所以应该先移除掉
    //此处应该封装成为一个方法来调用,为了读者好理解,我就直接写了
    for (int i = builder.Services.Count - 1; i >= 0; i--)
    {
        if (builder.Services[i]?.ServiceType == descriptor.ServiceType)
        {
            builder.Services.RemoveAt(i);
        }
    }

        var descriptor = ServiceDescriptor.Singleton<IXmlRepository>(services => new RedisXmlRepository(redisConnectionString, services.GetRequiredService<ILogger<RedisXmlRepository>>()))
        
        builder.Services.Add(descriptor);
        
        return builder.Use();
}

最终Services中关于DataProtection是这样的:

public void ConfigureServices(IServiceCollection services) 
{
    services.AddDataProtection()
    
    // ================以下是唯一标识==============
    
    //设置应用程序唯一标识
    .SetApplicationName("my_app_sample_identity");
    
    
    // =============以下是主加密键===============
    
    //windows dpaip 作为主加密键
    .ProtectKeysWithDpapi()
    
    //如果是 windows 8+ 或者windows server2012+ 可以使用此选项(基于Windows DPAPI-NG)
    .ProtectKeysWithDpapiNG("SID={current account SID}", DpapiNGProtectionDescriptorFlags.None)
    
    //如果是 windows 8+ 或者windows server2012+ 可以使用此选项(基于证书)
    .ProtectKeysWithDpapiNG("CERTIFICATE=HashId:3BCE558E2AD3E0E34A7743EAB5AEA2A9BD2575A0", DpapiNGProtectionDescriptorFlags.None)
    
    //使用证书作为主加密键,目前只有widnows支持,linux还不支持。
    .ProtectKeysWithCertificate();
    
    
    // ==============以下是存储位置=================
    
    //windows、Linux、macOS 下可以使用此种方式 保存到文件系统
    .PersistKeysToFileSystem(new System.IO.DirectoryInfo("C:\\share_keys\\"))
    
    //windows 下可以使用此种方式  保存到注册表
    .PersistKeysToRegistry(Microsoft.Win32.RegistryKey.FromHandle(null)) 
    
     // 存储到redis
    .PersistKeysToRedis(Configuration.Section["RedisConnection"])
}

在上面的配置中,我把所有可以使用的配置都列出来了哦,实际项目中应该视实际情况选择。

总结

关于ASP.NET Core Data Protection 系列终于写完了,其实这这部分花了蛮多时间的,对于Data Protection来说我也是一个循循渐进的学习过程,希望能帮助到一些人。

本文转载自:http://www.cnblogs.com/savorboard/p/dotnetcore-data-protected-farm.html

共有 人打赏支持
丁川
粉丝 4
博文 52
码字总数 4829
作品 0
南宁
程序员
ASP.NET Core 数据保护(Data Protection)【上】

数据安全往往是开发人员很容易忽略的一个部分,包括我自己。近两年业内也出现了很多因为安全问题导致了很多严重事情发生,所以安全对我们开发人员很重要,我们要对我们的代码的安全负责。 在...

鼎六智能
2016/10/18
106
0
ASP.NET Core 数据保护(Data Protection)【中】

API 接口 ASP.NET Core Data Protectio 主要对普通开发人员提供了两个接口, 和 。 我们先看一下这两个接口的关系: 可以看到,继承自 ,并且提供了两个方法 和 ,从命名来看,一个是加密,一...

鼎六智能
2016/10/18
26
0
IdentityServer4 实现 OpenID Connect 和 OAuth 2.0

关于 OAuth 2.0 的相关内容,点击查看:ASP.NET WebApi OWIN 实现 OAuth 2.0 OpenID 是一个去中心化的网上身份认证系统。对于支持 OpenID 的网站,用户不需要记住像用户名和密码这样的传统验...

林羽恒
2017/06/19
0
0
Asp.net Core介绍

ASP.NET Core is a significant redesign of ASP.NET. This topic introduces the new concepts in ASP.NET Core and explains how they help you develop modern web apps. Asp.net Core是重......

sshpp
2017/07/20
0
0
用分布式缓存提升ASP.NET Core性能

得益于纯净、轻量化并且跨平台支持的特性,ASP.NET Core作为热门Web应用开发框架,其高性能传输和负载均衡的支持已广受青睐。实际上,10-20台Web服务器还是轻松驾驭的。有了多服务器负载的支...

04/13
0
0
web.config文件详解

(一).Web.Config是以XML文件规范存储,配置文件分为以下格式 1.配置节处理程序声明 特点: 位于配置文件的顶部,包含在标志中。 2.特定应用程序配置 特点: 位于中。 可以定义应用程序的全局常...

晨曦之光
2012/03/09
45
0
TechEmpower 关于 ASP.NET Core 的性能测试

应用性能直接影响到托管服务的成本,因此公司在开发应用时需要格外注意应用所使用的Web框架,初创公司尤其如此。此外,糟糕的应用性能也会影响到用户体验,甚至会因此受到相关搜索引擎的降级...

王练
2016/11/23
2.8K
12
Docker & Consul & Fabio & ASP.NET Core 2.0 微服务跨平台实践

相关博文: Ubuntu 简单安装 Docker Mac OS、Ubuntu 安装及使用 Consul Consul 服务注册与服务发现 Fabio 安装和简单使用 阅读目录: Docker 运行 Consul 环境 Docker 运行 Fabio 环境 使用 ...

那谁爸爸
01/08
0
0
ASP.NET Core 2.0 发布,引进 Razor Pages 编码范例

ASP.NET 团队宣布 ASP.NET Core 2.0 发布,此版本与 .NET Core 2.0 兼容,支持 Visual Studio 2017 15.3 版本,并引进了新的 Razor Pages 用户界面设计范例。 有关更新的完整列表,可以阅读更...

Rwing
2017/08/15
2.5K
11
.NET Core+MySql+Nginx 容器化部署

1. 引言 上两节我们通过简单的demo学习了docker的基本操作。这一节我们来一个进阶学习,完成ASP.NET Core + MySql + Nginx的容器化部署。 本文是基于CentOS 7.4环境进行演示,示例项目可以访...

dotNET跨平台
01/11
0
0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

www.w3.org被qiang导致logback报错:Connect reset

web项目部署到tomcat后,web项目中的logback不能运行,报错信息如下: Reported exception: ch.qos.logback.core.joran.spi.JoranException: I/O error occurred while parsing xml file......

浮躁的码农
23分钟前
0
0
JDeveloper中文乱码解决

全局设置字体; 全局设置环境编码; 项目设置编译器环境编码。

wffger
50分钟前
2
0
MySQL主从介绍 , 准备工作,配置主,配置从, 测试主从同步

MySQL主从介绍 MySQL主从又叫做Replication、AB复制。简单讲就是A和B两台机器做主从后,在A上写数据,另外一台B也会跟着写数据,两者数据实时同步的 MySQL主从是基于binlog的,主上须开启bin...

TaoXu
今天
2
0
线性代数学习总结

亭子happy
今天
1
0
Java8:Lambda表达式增强版Comparator和排序

1、概述 在这篇教程里,我们将要去了解下即将到来的JDK 8(译注,现在JDK 8已经发布了)中的Lambda表达式——特别是怎样使用它来编写Comparator和对集合(Collection)进行排序。 这篇文章是...

孟飞阳
今天
0
0
从架构到组件,深挖istio如何连接、管理和保护微服务2.0?

近几年我一直从事于微服务系统的设计以及实现方面的工作,属于微服务架构一线实践者。之前做过一些单体系统的微服务改造,在微服务拆分、治理等方面都有一定的经验。 本人比较特殊一点的经历...

xiaomin0322
今天
1
0
基于vue的h5文件切片上传(获取文件md5,实现秒传、进度条实现)

template <button @click="file"></button><label ref="upload" style="position: relative;"> <input type="file" @change="selectFile" style="position: abs......

hkaikai
今天
2
0
Spring Boot 2.0 项目实现自同步AD域账号

在通过Spring Boot的自动化装配功能及JDK自带的LDAP模块,可通过如下几个简单步骤实现业务系统自动同步AD域账号功能。 1. Java自带ldap搜索域账号信息核心代码: try { LdapContext ctx...

B超
今天
2
0
Python----字符串中编码的问题

字符串中编码的问题 1、字符串前加 u 例:u"我是含有中文字符组成的字符串。" 作用: 后面字符串以 Unicode 格式 进行编码,一般用在中文字符串前面,防止因为源码储存格式问题,导致再次使用...

android-key
今天
2
0
Tomcat8.0 + Redis 实现 Session 会话共享

由于项目需要,需要实现Tomcat8.0 + Redis 实现 Session 会话共享,以便于实现多应用集群。后参考了开源项目: https://github.com/jcoleman/tomcat-redis-session-manager 进行调整后实现该...

杨应滨
今天
17
0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部