ASP.NET Core 数据保护(Data Protection 集群场景)下篇
前言
接 ,在有一些场景下,我们需要对 asp.net core 的加密方法进行扩展,来适应我们的需求,这个时候就需要使用到了一些 core 提供的高级的功能。
本文还列举了在集群场景下,有时候我们需要实现自己的一些方法来对data protection进行分布式配置。
加密扩展
iauthenticatedencryptor 和 iauthenticatedencryptordescriptor
iauthenticatedencryptor是 data protection 在构建其密码加密系统中的一个基础的接口。
一般情况下一个key 对应一个iauthenticatedencryptor,iauthenticatedencryptor封装了加密操作中需要使用到的秘钥材料和必要的加密算法信息等。
下面是iauthenticatedencryptor接口提供的两个 api方法:
decrypt(arraysegment<byte> ciphertext, arraysegment<byte> additionalauthenticateddata) : byte[]
encrypt(arraysegment<byte> plaintext, arraysegment<byte> additionalauthenticateddata) : byte[]
其中接口中的参数additionalauthenticateddata表示在构建加密的时候提供的一些附属信息。
iauthenticatedencryptordescriptor接口提供了一个创建包含类型信息iauthenticatedencryptor实例方法。
createencryptorinstance() : iauthenticatedencryptor
exporttoxml() : xmlserializeddescriptorinfo
密钥管理扩展
在密钥系统管理中,提供了一个基础的接口ikey,它包含以下属性:
activation
creation
expiration dates
revocation status
key identifier (a guid)
ikey还提供了一个创建iauthenticatedencryptor实例的方法createencryptorinstance。
ikeymanager接口提供了一系列用来操作key的方法,包括存储,检索操作等。他提供的高级操作有:
•创建一个key 并且持久存储
•从存储库中获取所有的 key
•撤销保存到存储中的一个或多个键
xmlkeymanager
通常情况下,开发人员不需要去实现ikeymanager来自定义一个 keymanager。我们可以使用系统默认提供的xmlkeymanager类。
xmlkeymanager是一个具体实现ikeymanager的类,它提供了一些非常有用的方法。
public sealed class xmlkeymanager : ikeymanager, iinternalxmlkeymanager
{
public xmlkeymanager(ixmlrepository repository, iauthenticatedencryptorconfiguration configuration, iserviceprovider services);
public ikey createnewkey(datetimeoffset activationdate, datetimeoffset expirationdate);
public ireadonlycollection<ikey> getallkeys();
public cancellationtoken getcacheexpirationtoken();
public void revokeallkeys(datetimeoffset revocationdate, string reason = null);
public void revokekey(guid keyid, string reason = null);
}
•iauthenticatedencryptorconfiguration 主要是规定新 key 使用的算法。
•ixmlrepository 主要控制 key 在哪里持久化存储。
ixmlrepository
ixmlrepository接口主要提供了持久化以及检索xml的方法,它只要提供了两个api:
•getallelements() : ireadonlycollection
•storeelement(xelement element, string friendlyname)
我们可以通过实现ixmlrepository接口的storeelement方法来定义data protection xml的存储位置。
getallelements来检索所有存在的加密的xml文件。
接口部分写到这里吧,因为这一篇我想把重点放到下面,更多接口的介绍大家还是去官方文档看吧~
集群场景
上面的api估计看着有点枯燥,那我们就来看看我们需要在集群场景下借助于data protection来做点什么吧。
就像我在【上篇】总结中末尾提到的,在做分布式集群的时候,data protection的一些机制我们需要知道,因为如果不了解这些可能会给你的部署带来一些麻烦,下面我们就来看看吧。
在做集群的时,我们必须知道并且明白关于 asp.net core data protection 的三个东西:
1、程序识别者
“application discriminator”,它是用来标识应用程序的唯一性。
为什么需要这个东西呢?因为在集群环境中,如果不被具体的硬件机器环境所限制,就要排除运行机器的一些差异,就需要抽象出来一些特定的标识,来标识应用程序本身并且使用该标识来区分不同的应用程序。这个时候,我们可以指定applicationdiscriminator。
在services.adddataprotection(dataprotectionoptions option)的时候,applicationdiscriminator可以作为参数传递,来看一下代码:
public void configureservices(iservicecollection services)
{
services.adddataprotection();
services.adddataprotection(dataprotectionoptions option);
}
//===========扩展方法如下:
public static class dataprotectionservicecollectionextensions
{
public static idataprotectionbuilder adddataprotection(this iservicecollection services);
//具有可传递参数的重载,在集群环境中需要使用此项配置
public static idataprotectionbuilder adddataprotection(this iservicecollection services, action<dataprotectionoptions> setupaction);
}
// dataprotectionoptions 属性:
public class dataprotectionoptions
{
public string applicationdiscriminator { get; set; }
}
可以看到这个扩展返回的是一个idataprotectionbuilder,在idataprotectionbuilder还有一个扩展方法叫 setapplicationname ,这个扩展方法在内部还是修改的applicationdiscriminator的值。也就说以下写法是等价的:
services.adddataprotection(x => x.applicationdiscriminator = "my_app_sample_identity");
services.adddataprotection().setapplicationname("my_app_sample_identity");
也就是说集群环境下同一应用程序他们需要设定为相同的值(applicationname or applicationdiscriminator)。
2、主加密键
“master encryption key”,主要是用来加密解密的,包括一客户端服务器在请求的过程中的一些会话数据,状态等。有几个可选项可以配置,比如使用证书或者是windows dpapi或者注册表等。如果是非windows平台,注册表和windows dpapi就不能用了。
public void configureservices(iservicecollection services)
{
services.adddataprotection()
//windows dpaip 作为主加密键
.protectkeyswithdpapi()
//如果是 windows 8+ 或者windows server2012+ 可以使用此选项(基于windows dpapi-ng)
.protectkeyswithdpaping("sid={current account sid}", dpapingprotectiondescriptorflags.none)
//如果是 windows 8+ 或者windows server2012+ 可以使用此选项(基于证书)
.protectkeyswithdpaping("certificate=hashid:3bce558e2ad3e0e34a7743eab5aea2a9bd2575a0", dpapingprotectiondescriptorflags.none)
//使用证书作为主加密键,目前只有widnows支持,linux还不支持。
.protectkeyswithcertificate();
}
如果在集群环境中,他们需要具有配置相同的主加密键。
3、加密后存储位置
在【上篇】的时候说过,默认情况下data protection会生成 xml 文件用来存储session或者是状态的密钥文件。这些文件用来加密或者解密session等状态数据。
就是上篇中说的那个私钥存储位置:
1、如果程序寄宿在 microsoft azure下,存储在“%home%\asp.net\dataprotection-keys” 文件夹。
2、如果程序寄宿在iis下,它被保存在hklm注册表的acled特殊注册表键,并且只有工作进程可以访问,它使用windows的dpapi加密。
3、如果当前用户可用,即win10或者win7中,它存储在“%localappdata%\asp.net\dataprotection-keys”文件夹,同样使用的windows的dpapi加密。
4、如果这些都不符合,那么也就是私钥是没有被持久化的,也就是说当进程关闭的时候,生成的私钥就丢失了。
集群环境下:
最简单的方式是通过文件共享、dpapi或者注册表,也就是说把加密过后的xml文件都存储在相同的地方。为什么说最简单,因为系统已经给封装好了,不需要写多余的代码了,但是要保证文件共享相关的端口是开放的。如下:
public void configureservices(iservicecollection services)
{
services.adddataprotection()
//windows、linux、macos 下可以使用此种方式 保存到文件系统
.persistkeystofilesystem(new system.io.directoryinfo("c:\\share_keys\\"))
//windows 下可以使用此种方式 保存到注册表
.persistkeystoregistry(microsoft.win32.registrykey.fromhandle(null))
}
你也可以自己扩展方法来自己定义一些存储,比如使用数据库或者redis等。
不过通常情况下,如果在linux上部署的话,都是需要扩展的。下面来看一下我们想要用redis存储,该怎么做呢?
如何扩展加密键集合的存储位置?
首先,定义个针对ixmlrepository接口的 redis 实现类redisxmlrepository.cs:
public class redisxmlrepository : ixmlrepository, idisposable
{
public static readonly string redishashkey = "dataprotectionxmlrepository";
private iconnectionmultiplexer _connection;
private bool _disposed = false;
public redisxmlrepository(string connectionstring, ilogger<redisxmlrepository> logger)
: this(connectionmultiplexer.connect(connectionstring), logger)
{
}
public redisxmlrepository(iconnectionmultiplexer connection, ilogger<redisxmlrepository> logger)
{
if (connection == null)
{
throw new argumentnullexception(nameof(connection));
}
if (logger == null)
{
throw new argumentnullexception(nameof(logger));
}
this._connection = connection;
this.logger = logger;
var configuration = regex.replace(this._connection.configuration, @"password\s*=\s*[^,]*", "password=****", regexoptions.ignorecase);
this.logger.logdebug("storing data protection keys in redis: {redisconfiguration}", configuration);
}
public ilogger<redisxmlrepository> logger { get; private set; }
public void dispose()
{
this.dispose(true);
}
public ireadonlycollection<xelement> getallelements()
{
var database = this._connection.getdatabase();
var hash = database.hashgetall(redishashkey);
var elements = new list<xelement>();
if (hash == null || hash.length == 0)
{
return elements.asreadonly();
}
foreach (var item in hash.tostringdictionary())
{
elements.add(xelement.parse(item.value));
}
this.logger.logdebug("read {xmlelementcount} xml elements from redis.", elements.count);
return elements.asreadonly();
}
public void storeelement(xelement element, string friendlyname)
{
if (element == null)
{
throw new argumentnullexception(nameof(element));
}
if (string.isnullorempty(friendlyname))
{
friendlyname = guid.newguid().tostring();
}
this.logger.logdebug("storing xml element with friendly name {xmlelementfriendlyname}.", friendlyname);
this._connection.getdatabase().hashset(redishashkey, friendlyname, element.tostring());
}
protected virtual void dispose(bool disposing)
{
if (!this._disposed)
{
if (disposing)
{
if (this._connection != null)
{
this._connection.close();
this._connection.dispose();
}
}
this._connection = null;
this._disposed = true;
}
}
}
然后任意一个扩展类中先定义一个扩展方法:
public static idataprotectionbuilder persistkeystoredis(this idataprotectionbuilder builder, string redisconnectionstring)
{
if (builder == null)
{
throw new argumentnullexception(nameof(builder));
}
if (redisconnectionstring == null)
{
throw new argumentnullexception(nameof(redisconnectionstring));
}
if (redisconnectionstring.length == 0)
{
throw new argumentexception("redis connection string may not be empty.", nameof(redisconnectionstring));
}
//因为在services.adddataprotection()的时候,已经注入了ixmlrepository,所以应该先移除掉
//此处应该封装成为一个方法来调用,为了读者好理解,我就直接写了
for (int i = builder.services.count - 1; i >= 0; i--)
{
if (builder.services[i]?.servicetype == descriptor.servicetype)
{
builder.services.removeat(i);
}
}
var descriptor = servicedescriptor.singleton<ixmlrepository>(services => new redisxmlrepository(redisconnectionstring, services.getrequiredservice<ilogger<redisxmlrepository>>()))
builder.services.add(descriptor);
return builder.use();
}
最终services中关于dataprotection是这样的:
public void configureservices(iservicecollection services)
{
services.adddataprotection()
// ================以下是唯一标识==============
//设置应用程序唯一标识
.setapplicationname("my_app_sample_identity");
// =============以下是主加密键===============
//windows dpaip 作为主加密键
.protectkeyswithdpapi()
//如果是 windows 8+ 或者windows server2012+ 可以使用此选项(基于windows dpapi-ng)
.protectkeyswithdpaping("sid={current account sid}", dpapingprotectiondescriptorflags.none)
//如果是 windows 8+ 或者windows server2012+ 可以使用此选项(基于证书)
.protectkeyswithdpaping("certificate=hashid:3bce558e2ad3e0e34a7743eab5aea2a9bd2575a0", dpapingprotectiondescriptorflags.none)
//使用证书作为主加密键,目前只有widnows支持,linux还不支持。
.protectkeyswithcertificate();
// ==============以下是存储位置=================
//windows、linux、macos 下可以使用此种方式 保存到文件系统
.persistkeystofilesystem(new system.io.directoryinfo("c:\\share_keys\\"))
//windows 下可以使用此种方式 保存到注册表
.persistkeystoregistry(microsoft.win32.registrykey.fromhandle(null))
// 存储到redis
.persistkeystoredis(configuration.section["redisconnection"])
}
在上面的配置中,我把所有可以使用的配置都列出来了哦,实际项目中应该视实际情况选择。
总结
关于asp.net core data protection 系列终于写完了,其实这这部分花了蛮多时间的,对于data protection来说我也是一个循循渐进的学习过程,希望能帮助到一些人。
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持。
推荐阅读
-
ASP.NET Core 数据保护(Data Protection 集群场景)下篇
-
ASP.NET Core 数据保护(Data Protection)上篇
-
ASP.NET Core 数据保护(Data Protection)中篇
-
ASP.NET Core 数据保护(Data Protection)中篇
-
ASP.NET Core 数据保护(Data Protection 集群场景)下篇
-
ASP.NET Core 数据保护(Data Protection)上篇
-
ASP.NET Core的Data Protect(数据保护)的学习和应用
-
ASP.NET Core 数据保护(Data Protection)【上】
-
集群环境下,你不得不注意的ASP.NET Core Data Protection 机制
-
ASP.NET Core 数据保护(Data Protection)