|
|
|
|
公众号矩阵

如何在 ASP.Net Core 中实现数据保护API

在 ASP.Net Core 数据保护栈中提供了一种非常简单的方法来加密API,从而保护数据的安全,通常落地的做法就是 数据加密 和 数据解密,这篇文章我们就来一起看看如何使用 数据保护API。

作者:码农读书 来源:码农读书|2021-01-13 07:33

本文转载自微信公众号「码农读书  」,作者码农读书 。转载本文请联系 码农读书 公众号。

在 ASP.Net Core 数据保护栈中提供了一种非常简单的方法来加密API,从而保护数据的安全,通常落地的做法就是 数据加密 和 数据解密,这篇文章我们就来一起看看如何使用数据保护API。

理解加密和哈希

在安全领域,加密和hash是两个非常重要的概念,常常被开发者混用,其实这是不对的,加密是用一种加密算法将一种数据转换成另外一种数据,同时也要注意,这是一种双向操作,已加密的数据只能通过一个合适的密钥去解密,加过密的数据又称为密文,在如今的系统间通讯,数据加密还是非常简单高效的。

相比之下,hash 是一种将 text 转成 消息摘要 的技术,要值得注意的是,hash值是唯一的,这就意味着不同的text文本不可能生成同一个 hash 值,而且还要注意的是,当 text 转成了 hash 值之后,你很难再将 hash 值再还原成 text 文本。

总的来说,加密是一种双向技术,可以使用同一个密钥对数据进行加密解密,hash是一种单向技术,它可以将 text 转成 消息摘要,而这个摘要很难再还原成原始text。

安装 Microsoft.AspNetCore.DataProtection

要想使用 数据保护API, 可以使用 Visual Studio 2019 中的 NuGet package manager 可视化界面,还可以用 NuGet package manager console 在命令行窗口中键入如下命令。

  1. dotnet add package Microsoft.AspNetCore.DataProtection -Version 2.2.0 

配置数据保护API

按照 ASP.NET Core 的默认惯例,先将 DataProtection 注入到 ServiceCollection 中,如下代码所示。

  1. public class Startup 
  2.     { 
  3.         // This method gets called by the runtime. Use this method to add services to the container. 
  4.         public void ConfigureServices(IServiceCollection services) 
  5.         { 
  6.             services.AddControllers(); 
  7.  
  8.             services.AddDataProtection(); 
  9.         } 
  10.     } 

如果你想将加密和解密用到的 密钥 单独存放到文件系统中的话,可以在注入时稍微修改一下,如下代码所示:

  1. public class Startup 
  2.     { 
  3.         // This method gets called by the runtime. Use this method to add services to the container. 
  4.         public void ConfigureServices(IServiceCollection services) 
  5.         { 
  6.             services.AddControllers(); 
  7.  
  8.             services.AddDataProtection().PersistKeysToFileSystem(new DirectoryInfo(@"D:\IDG\Temp")); 
  9.         } 
  10.     } 

值得注意的是,密钥 是由 数据保护API 创建和维护,默认情况下这个 key 的有效期是 90天,如果你有特殊需求,也可以自己指定 key 的有效期,如下代码所示:

  1. public class Startup 
  2.     { 
  3.         public void ConfigureServices(IServiceCollection services) 
  4.         { 
  5.             services.AddControllers(); 
  6.  
  7.             services.ConfigureDataProtection(dp => 
  8.             { 
  9.                 dp.PersistKeysToFileSystem(new DirectoryInfo(@"D:\IDG\Temp")); 
  10.                 dp.SetDefaultKeyLifetime(TimeSpan.FromDays(7)); 
  11.             }); 
  12.         } 
  13.     } 

你甚至可以使用一个证书来保护密钥,也可以直接使用 Azure Key Valult 来存储密钥,如果想使用后者,可以用下面的代码来配置。

  1. public class Startup 
  2.    { 
  3.        public void ConfigureServices(IServiceCollection services) 
  4.        { 
  5.            services.AddControllers(); 
  6.  
  7.            services.AddDataProtection().PersistKeysToAzureBlobStorage(new Uri("Specify the Uri here")) 
  8.                                        .ProtectKeysWithAzureKeyVault("keyIdentifier""clientId""clientSecret"); 
  9.        } 
  10.    } 

数据加密

现在 数据保护API 已经安装并配置成功了,接下来看看如何在 Controller 中使用数据保护API。

  1. [ApiController] 
  2.     [Route("[controller]")] 
  3.     public class WeatherForecastController : ControllerBase 
  4.     { 
  5.         IDataProtector _protector; 
  6.  
  7.         public WeatherForecastController(IDataProtectionProvider provider) 
  8.         { 
  9.             _protector = provider.CreateProtector(GetType().FullName); 
  10.         } 
  11.  
  12.         [HttpGet] 
  13.         public string Get() 
  14.         { 
  15.             var protectedData = _protector.Protect("Hello World"); 
  16.  
  17.             return protectedData; 
  18.         } 
  19.     } 

从图中可以看到,HelloWorld 已经被成功加密返回给到前端了,对了,为了能够尽量可复用,可以单独用一个帮助类来做 数据保护API 中的数据加密解密,如下代码所示:

  1. public class DataProtectionHelper 
  2.     { 
  3.         private readonly IDataProtectionProvider _dataProtectionProvider; 
  4.  
  5.         public DataProtectionHelper(IDataProtectionProvider dataProtectionProvider) 
  6.         { 
  7.             _dataProtectionProvider = dataProtectionProvider; 
  8.         } 
  9.  
  10.         public string Encrypt(string textToEncrypt, string key
  11.         { 
  12.             return _dataProtectionProvider.CreateProtector(key).Protect(textToEncrypt); 
  13.         } 
  14.  
  15.         public string Decrypt(string cipherText, string key
  16.         { 
  17.             return _dataProtectionProvider.CreateProtector(key).Unprotect(cipherText); 
  18.         } 
  19.     } 

值得注意的是,上面的 Encrypt 和 Decrypt 方法的第二个参数是密钥key,这样的话 密钥 的掌控权就在你的手上了。

数据保护API 使用起来还是非常简单灵活的,使用这种方法来生成密文数据是一种非常好的方法,常见的场景太多了,比如:cookie,querystring 中的数据,而且在过期时间之内加密解密操作都是安全的,如果你的密文要维持很长的时间,这种场景下建议自己实现 加密解密 逻辑。

译文链接:https://www.infoworld.com/article/3431139/how-to-use-the-data-protection-api-in-aspnet-core.html

【编辑推荐】

  1. 如何实现 ASP.NET Core WebApi 的版本化
  2. 实践: Jenkins Core Api & Job DSL创建项目
  3. 微信小程序与服务端API交互实战演练
  4. API快速开发平台设计思考
  5. 学习Win32 API编程-Windows C++界面编程(VS2015)视频课程
【责任编辑:武晓燕 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

订阅专栏+更多

数据湖与数据仓库的分析实践攻略

数据湖与数据仓库的分析实践攻略

助力现代化数据管理:数据湖与数据仓库的分析实践攻略
共3章 | 创世达人

1人订阅学习

云原生架构实践

云原生架构实践

新技术引领移动互联网进入急速赛道
共3章 | KaliArch

30人订阅学习

数据中心和VPDN网络建设案例

数据中心和VPDN网络建设案例

漫画+案例
共20章 | 捷哥CCIE

209人订阅学习

视频课程+更多

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊

51CTO服务号

51CTO官微