接【中篇】,在有一些场景下,我们需要对 ASP.NET Core 的加密方法进行扩展,来适应我们的需求,这个时候就需要使用到了一些 Core 提供的高级的功能。
本文还列举了在集群场景下,有时候我们需要实现自己的一些方法来对Data Protection进行分布式配置。
IAuthenticatedEncryptor是 Data Protection 在构建其密码加密系统中的一个基础的接口。
一般情况下一个key 对应一个IAuthenticatedEncryptor,IAuthenticatedEncryptor封装了加密操作中需要使用到的秘钥材料和必要的加密算法信息等。
下面是IAuthenticatedEncryptor接口提供的两个 api方法:
|
1 2 |
Decrypt(ArraySegment<<span class="hljs-keyword">byte</span>> ciphertext, ArraySegment<<span class="hljs-keyword">byte</span>> additionalAuthenticatedData) : <span class="hljs-keyword">byte</span>[] Encrypt(ArraySegment<<span class="hljs-keyword">byte</span>> plaintext, ArraySegment<<span class="hljs-keyword">byte</span>> additionalAuthenticatedData) : <span class="hljs-keyword">byte</span>[] |
其中接口中的参数additionalAuthenticatedData表示在构建加密的时候提供的一些附属信息。
IAuthenticatedEncryptorDescriptor接口提供了一个创建包含类型信息IAuthenticatedEncryptor实例方法。
|
1 2 |
CreateEncryptorInstance() : IAuthenticatedEncryptor ExportToXml() : XmlSerializedDescriptorInfo |
在密钥系统管理中,提供了一个基础的接口IKey,它包含以下属性:
|
1 2 3 4 5 |
Activation creation expiration dates Revocation status Key identifier (<span class="hljs-name">a</span> GUID) |
IKey还提供了一个创建IAuthenticatedEncryptor实例的方法CreateEncryptorInstance。
IKeyManager接口提供了一系列用来操作Key的方法,包括存储,检索操作等。他提供的高级操作有:
XmlKeyManager
通常情况下,开发人员不需要去实现IKeyManager来自定义一个 KeyManager。我们可以使用系统默认提供的XmlKeyManager类。
XMLKeyManager是一个具体实现IKeyManager的类,它提供了一些非常有用的方法。
|
1 2 3 4 5 6 7 8 9 10 |
<span class="hljs-keyword">public</span> sealed <span class="hljs-keyword">class</span> XmlKeyManager : IKeyManager, IInternalXmlKeyManager { <span class="hljs-function"><span class="hljs-keyword">public</span> <span class="hljs-title">XmlKeyManager</span><span class="hljs-params">(IXmlRepository repository, IAuthenticatedEncryptorConfiguration configuration, IServiceProvider services)</span></span>; <span class="hljs-function"><span class="hljs-keyword">public</span> IKey <span class="hljs-title">CreateNewKey</span><span class="hljs-params">(DateTimeOffset activationDate, DateTimeOffset expirationDate)</span></span>; <span class="hljs-keyword">public</span> IReadOnlyCollection<IKey> GetAllKeys(); <span class="hljs-function"><span class="hljs-keyword">public</span> CancellationToken <span class="hljs-title">GetCacheExpirationToken</span><span class="hljs-params">()</span></span>; <span class="hljs-function"><span class="hljs-keyword">public</span> <span class="hljs-keyword">void</span> <span class="hljs-title">RevokeAllKeys</span><span class="hljs-params">(DateTimeOffset revocationDate, <span class="hljs-built_in">string</span> reason = null)</span></span>; <span class="hljs-function"><span class="hljs-keyword">public</span> <span class="hljs-keyword">void</span> <span class="hljs-title">RevokeKey</span><span class="hljs-params">(Guid keyId, <span class="hljs-built_in">string</span> reason = null)</span></span>; } |
IXmlRepository
IXmlRepository接口主要提供了持久化以及检索XML的方法,它只要提供了两个API:
我们可以通过实现IXmlRepository接口的StoreElement方法来定义data protection xml的存储位置。
GetAllElements来检索所有存在的加密的xml文件。
接口部分写到这里吧,因为这一篇我想把重点放到下面,更多接口的介绍大家还是去官方文档看吧~
上面的API估计看着有点枯燥,那我们就来看看我们需要在集群场景下借助于Data Protection来做点什么吧。
就像我在【上篇】总结中末尾提到的,在做分布式集群的时候,Data Protection的一些机制我们需要知道,因为如果不了解这些可能会给你的部署带来一些麻烦,下面我们就来看看吧。
在做集群的时,我们必须知道并且明白关于 ASP.NET Core Data Protection 的三个东西:
“Application discriminator”,它是用来标识应用程序的唯一性。
为什么需要这个东西呢?因为在集群环境中,如果不被具体的硬件机器环境所限制,就要排除运行机器的一些差异,就需要抽象出来一些特定的标识,来标识应用程序本身并且使用该标识来区分不同的应用程序。这个时候,我们可以指定ApplicationDiscriminator。
在services.AddDataProtection(DataProtectionOptions option)的时候,ApplicationDiscriminator可以作为参数传递,来看一下代码:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 |
<span class="hljs-function"><span class="hljs-keyword">public</span> <span class="hljs-keyword">void</span> <span class="hljs-title">ConfigureServices</span>(<span class="hljs-params">IServiceCollection services</span>) </span>{ services.AddDataProtection(); services.AddDataProtection(DataProtectionOptions option); } <span class="hljs-comment">//===========扩展方法如下:</span> <span class="hljs-keyword">public</span> <span class="hljs-keyword">static</span> <span class="hljs-keyword">class</span> <span class="hljs-title">DataProtectionServiceCollectionExtensions</span> { <span class="hljs-function"><span class="hljs-keyword">public</span> <span class="hljs-keyword">static</span> IDataProtectionBuilder <span class="hljs-title">AddDataProtection</span>(<span class="hljs-params"><span class="hljs-keyword">this</span> IServiceCollection services</span>)</span>; <span class="hljs-comment">//具有可传递参数的重载,在集群环境中需要使用此项配置</span> <span class="hljs-function"><span class="hljs-keyword">public</span> <span class="hljs-keyword">static</span> IDataProtectionBuilder <span class="hljs-title">AddDataProtection</span>(<span class="hljs-params"><span class="hljs-keyword">this</span> IServiceCollection services, Action<DataProtectionOptions> setupAction</span>)</span>; } <span class="hljs-comment">// DataProtectionOptions 属性:</span> <span class="hljs-keyword">public</span> <span class="hljs-keyword">class</span> <span class="hljs-title">DataProtectionOptions</span> { <span class="hljs-keyword">public</span> <span class="hljs-keyword">string</span> ApplicationDiscriminator { <span class="hljs-keyword">get</span>; <span class="hljs-keyword">set</span>; } } |
可以看到这个扩展返回的是一个IDataProtectionBuilder,在IDataProtectionBuilder还有一个扩展方法叫 SetApplicationName ,这个扩展方法在内部还是修改的ApplicationDiscriminator的值。也就说以下写法是等价的:
|
1 2 3 4 |
services.AddDataProtection(x => x.ApplicationDiscriminator = <span class="hljs-string">"my_app_sample_identity"</span>); services.AddDataProtection().SetApplicationName(<span class="hljs-string">"my_app_sample_identity"</span>); |
也就是说集群环境下同一应用程序他们需要设定为相同的值(ApplicationName or ApplicationDiscriminator)。
“Master encryption key”,主要是用来加密解密的,包括一客户端服务器在请求的过程中的一些会话数据,状态等。有几个可选项可以配置,比如使用证书或者是windows DPAPI或者注册表等。如果是非windows平台,注册表和Windows DPAPI就不能用了。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 |
<span class="hljs-function"><span class="hljs-keyword">public</span> <span class="hljs-keyword">void</span> <span class="hljs-title">ConfigureServices</span><span class="hljs-params">(IServiceCollection services)</span> </span>{ services.AddDataProtection() <span class="hljs-comment">//windows dpaip 作为主加密键</span> .ProtectKeysWithDpapi() <span class="hljs-comment">//如果是 windows 8+ 或者windows server2012+ 可以使用此选项(基于Windows DPAPI-NG)</span> .ProtectKeysWithDpapiNG(<span class="hljs-string">"SID={current account SID}"</span>, DpapiNGProtectionDescriptorFlags.None) <span class="hljs-comment">//如果是 windows 8+ 或者windows server2012+ 可以使用此选项(基于证书)</span> .ProtectKeysWithDpapiNG(<span class="hljs-string">"CERTIFICATE=HashId:3BCE558E2AD3E0E34A7743EAB5AEA2A9BD2575A0"</span>, DpapiNGProtectionDescriptorFlags.None) <span class="hljs-comment">//使用证书作为主加密键,目前只有widnows支持,linux还不支持。</span> .ProtectKeysWithCertificate(); } |
如果在集群环境中,他们需要具有配置相同的主加密键。
在【上篇】的时候说过,默认情况下Data Protection会生成 xml 文件用来存储session或者是状态的密钥文件。这些文件用来加密或者解密session等状态数据。
就是上篇中说的那个私钥存储位置:
1、如果程序寄宿在 Microsoft Azure下,存储在“%HOME%\ASP.NET\DataProtection-Keys” 文件夹。
2、如果程序寄宿在IIS下,它被保存在HKLM注册表的ACLed特殊注册表键,并且只有工作进程可以访问,它使用windows的DPAPI加密。
3、如果当前用户可用,即win10或者win7中,它存储在“%LOCALAPPDATA%\ASP.NET\DataProtection-Keys”文件夹,同样使用的windows的DPAPI加密。
4、如果这些都不符合,那么也就是私钥是没有被持久化的,也就是说当进程关闭的时候,生成的私钥就丢失了。
集群环境下:
最简单的方式是通过文件共享、DPAPI或者注册表,也就是说把加密过后的xml文件都存储在相同的地方。为什么说最简单,因为系统已经给封装好了,不需要写多余的代码了,但是要保证文件共享相关的端口是开放的。如下:
|
1 2 3 4 5 6 7 8 |
<span class="hljs-function"><span class="hljs-keyword">public</span> <span class="hljs-keyword">void</span> <span class="hljs-title">ConfigureServices</span>(<span class="hljs-params">IServiceCollection services</span>) </span>{ services.AddDataProtection() <span class="hljs-comment">//windows、Linux、macOS 下可以使用此种方式 保存到文件系统</span> .PersistKeysToFileSystem(<span class="hljs-keyword">new</span> System.IO.DirectoryInfo(<span class="hljs-string">"C:\\share_keys\\"</span>)) <span class="hljs-comment">//windows 下可以使用此种方式 保存到注册表</span> .PersistKeysToRegistry(Microsoft.Win32.RegistryKey.FromHandle(<span class="hljs-keyword">null</span>)) } |
你也可以自己扩展方法来自己定义一些存储,比如使用数据库或者Redis等。
不过通常情况下,如果在linux上部署的话,都是需要扩展的。下面来看一下我们想要用redis存储,该怎么做呢?
首先,定义个针对IXmlRepository接口的 redis 实现类RedisXmlRepository.cs:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 |
<span class="hljs-keyword">public</span> <span class="hljs-keyword">class</span> RedisXmlRepository : IXmlRepository, IDisposable { <span class="hljs-keyword">public</span> <span class="hljs-keyword">static</span> readonly <span class="hljs-built_in">string</span> RedisHashKey = <span class="hljs-string">"DataProtectionXmlRepository"</span>; <span class="hljs-keyword">private</span> IConnectionMultiplexer _connection; <span class="hljs-keyword">private</span> bool _disposed = <span class="hljs-literal">false</span>; <span class="hljs-keyword">public</span> RedisXmlRepository(<span class="hljs-built_in">string</span> connectionString, ILogger<RedisXmlRepository> logger) : <span class="hljs-keyword">this</span>(ConnectionMultiplexer.Connect(connectionString), logger) { } <span class="hljs-keyword">public</span> RedisXmlRepository(IConnectionMultiplexer connection, ILogger<RedisXmlRepository> logger) { <span class="hljs-keyword">if</span> (connection == <span class="hljs-literal">null</span>) { <span class="hljs-keyword">throw</span> <span class="hljs-keyword">new</span> ArgumentNullException(nameof(connection)); } <span class="hljs-keyword">if</span> (logger == <span class="hljs-literal">null</span>) { <span class="hljs-keyword">throw</span> <span class="hljs-keyword">new</span> ArgumentNullException(nameof(logger)); } <span class="hljs-keyword">this</span>._connection = connection; <span class="hljs-keyword">this</span>.Logger = logger; <span class="hljs-keyword">var</span> configuration = Regex.Replace(<span class="hljs-keyword">this</span>._connection.Configuration, @<span class="hljs-string">"password\s*=\s*[^,]*"</span>, <span class="hljs-string">"password=****"</span>, RegexOptions.IgnoreCase); <span class="hljs-keyword">this</span>.Logger.LogDebug(<span class="hljs-string">"Storing data protection keys in Redis: {RedisConfiguration}"</span>, configuration); } <span class="hljs-keyword">public</span> ILogger<RedisXmlRepository> Logger { <span class="hljs-keyword">get</span>; <span class="hljs-keyword">private</span> <span class="hljs-keyword">set</span>; } <span class="hljs-keyword">public</span> <span class="hljs-built_in">void</span> Dispose() { <span class="hljs-keyword">this</span>.Dispose(<span class="hljs-literal">true</span>); } <span class="hljs-keyword">public</span> IReadOnlyCollection<XElement> GetAllElements() { <span class="hljs-keyword">var</span> database = <span class="hljs-keyword">this</span>._connection.GetDatabase(); <span class="hljs-keyword">var</span> hash = database.HashGetAll(RedisHashKey); <span class="hljs-keyword">var</span> elements = <span class="hljs-keyword">new</span> List<XElement>(); <span class="hljs-keyword">if</span> (hash == <span class="hljs-literal">null</span> || hash.Length == <span class="hljs-number">0</span>) { <span class="hljs-keyword">return</span> elements.AsReadOnly(); } foreach (<span class="hljs-keyword">var</span> item <span class="hljs-keyword">in</span> hash.ToStringDictionary()) { elements.Add(XElement.Parse(item.Value)); } <span class="hljs-keyword">this</span>.Logger.LogDebug(<span class="hljs-string">"Read {XmlElementCount} XML elements from Redis."</span>, elements.Count); <span class="hljs-keyword">return</span> elements.AsReadOnly(); } <span class="hljs-keyword">public</span> <span class="hljs-built_in">void</span> StoreElement(XElement element, <span class="hljs-built_in">string</span> friendlyName) { <span class="hljs-keyword">if</span> (element == <span class="hljs-literal">null</span>) { <span class="hljs-keyword">throw</span> <span class="hljs-keyword">new</span> ArgumentNullException(nameof(element)); } <span class="hljs-keyword">if</span> (<span class="hljs-built_in">string</span>.IsNullOrEmpty(friendlyName)) { friendlyName = Guid.NewGuid().ToString(); } <span class="hljs-keyword">this</span>.Logger.LogDebug(<span class="hljs-string">"Storing XML element with friendly name {XmlElementFriendlyName}."</span>, friendlyName); <span class="hljs-keyword">this</span>._connection.GetDatabase().HashSet(RedisHashKey, friendlyName, element.ToString()); } <span class="hljs-keyword">protected</span> virtual <span class="hljs-built_in">void</span> Dispose(bool disposing) { <span class="hljs-keyword">if</span> (!<span class="hljs-keyword">this</span>._disposed) { <span class="hljs-keyword">if</span> (disposing) { <span class="hljs-keyword">if</span> (<span class="hljs-keyword">this</span>._connection != <span class="hljs-literal">null</span>) { <span class="hljs-keyword">this</span>._connection.Close(); <span class="hljs-keyword">this</span>._connection.Dispose(); } } <span class="hljs-keyword">this</span>._connection = <span class="hljs-literal">null</span>; <span class="hljs-keyword">this</span>._disposed = <span class="hljs-literal">true</span>; } } } |
然后任意一个扩展类中先定义一个扩展方法:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 |
<span class="hljs-function"><span class="hljs-keyword">public</span> <span class="hljs-keyword">static</span> IDataProtectionBuilder <span class="hljs-title">PersistKeysToRedis</span>(<span class="hljs-params"><span class="hljs-keyword">this</span> IDataProtectionBuilder builder, <span class="hljs-keyword">string</span> redisConnectionString</span>) </span>{ <span class="hljs-keyword">if</span> (builder == <span class="hljs-keyword">null</span>) { <span class="hljs-keyword">throw</span> <span class="hljs-keyword">new</span> ArgumentNullException(nameof(builder)); } <span class="hljs-keyword">if</span> (redisConnectionString == <span class="hljs-keyword">null</span>) { <span class="hljs-keyword">throw</span> <span class="hljs-keyword">new</span> ArgumentNullException(nameof(redisConnectionString)); } <span class="hljs-keyword">if</span> (redisConnectionString.Length == <span class="hljs-number">0</span>) { <span class="hljs-keyword">throw</span> <span class="hljs-keyword">new</span> ArgumentException(<span class="hljs-string">"Redis connection string may not be empty."</span>, nameof(redisConnectionString)); } <span class="hljs-comment">//因为在services.AddDataProtection()的时候,已经注入了IXmlRepository,所以应该先移除掉</span> <span class="hljs-comment">//此处应该封装成为一个方法来调用,为了读者好理解,我就直接写了</span> <span class="hljs-keyword">for</span> (<span class="hljs-keyword">int</span> i = builder.Services.Count - <span class="hljs-number">1</span>; i >= <span class="hljs-number">0</span>; i--) { <span class="hljs-keyword">if</span> (builder.Services[i]?.ServiceType == descriptor.ServiceType) { builder.Services.RemoveAt(i); } } <span class="hljs-keyword">var</span> descriptor = ServiceDescriptor.Singleton<IXmlRepository>(services => <span class="hljs-keyword">new</span> RedisXmlRepository(redisConnectionString, services.GetRequiredService<ILogger<RedisXmlRepository>>())) builder.Services.Add(descriptor); <span class="hljs-keyword">return</span> builder.Use(); } |
最终Services中关于DataProtection是这样的:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 |
<span class="hljs-function"><span class="hljs-keyword">public</span> <span class="hljs-keyword">void</span> <span class="hljs-title">ConfigureServices</span>(<span class="hljs-params">IServiceCollection services</span>) </span>{ services.AddDataProtection() <span class="hljs-comment">// ================以下是唯一标识==============</span> <span class="hljs-comment">//设置应用程序唯一标识</span> .SetApplicationName(<span class="hljs-string">"my_app_sample_identity"</span>); <span class="hljs-comment">// =============以下是主加密键===============</span> <span class="hljs-comment">//windows dpaip 作为主加密键</span> .ProtectKeysWithDpapi() <span class="hljs-comment">//如果是 windows 8+ 或者windows server2012+ 可以使用此选项(基于Windows DPAPI-NG)</span> .ProtectKeysWithDpapiNG(<span class="hljs-string">"SID={current account SID}"</span>, DpapiNGProtectionDescriptorFlags.None) <span class="hljs-comment">//如果是 windows 8+ 或者windows server2012+ 可以使用此选项(基于证书)</span> .ProtectKeysWithDpapiNG(<span class="hljs-string">"CERTIFICATE=HashId:3BCE558E2AD3E0E34A7743EAB5AEA2A9BD2575A0"</span>, DpapiNGProtectionDescriptorFlags.None) <span class="hljs-comment">//使用证书作为主加密键,目前只有widnows支持,linux还不支持。</span> .ProtectKeysWithCertificate(); <span class="hljs-comment">// ==============以下是存储位置=================</span> <span class="hljs-comment">//windows、Linux、macOS 下可以使用此种方式 保存到文件系统</span> .PersistKeysToFileSystem(<span class="hljs-keyword">new</span> System.IO.DirectoryInfo(<span class="hljs-string">"C:\\share_keys\\"</span>)) <span class="hljs-comment">//windows 下可以使用此种方式 保存到注册表</span> .PersistKeysToRegistry(Microsoft.Win32.RegistryKey.FromHandle(<span class="hljs-keyword">null</span>)) <span class="hljs-comment">// 存储到redis</span> .PersistKeysToRedis(Configuration.Section[<span class="hljs-string">"RedisConnection"</span>]) } |
在上面的配置中,我把所有可以使用的配置都列出来了哦,实际项目中应该视实际情况选择。
关于ASP.NET Core Data Protection 系列终于写完了,其实这这部分花了蛮多时间的,对于Data Protection来说我也是一个循循渐进的学习过程,希望能帮助到一些人。
如果您觉得本篇文章对你有用的话,不妨点个【推荐】。
本文地址:http://www.cnblogs.com/savorboard/p/dotnetcore-data-protected-farm.html
作者博客:Savorboard
欢迎转载,请在明显位置给出出处及链接