ASP.NET Core 資料保護（Data Protection 叢集情境）下篇_實用技巧

前言 

接【中篇】 ，在有一些情境下，我們需要對 ASP.NET Core 的加密方法進行擴充，來適應我們的需求，這個時候就需要使用到了一些 Core 提供的進階的功能。 

本文還列舉了在叢集情境下，有時候我們需要實現自己的一些方法來對Data Protection進行分布式配置。 

加密擴充 

IAuthenticatedEncryptor 和 IAuthenticatedEncryptorDescriptor 

IAuthenticatedEncryptor是 Data Protection 在構建其密碼加密系統中的一個基礎的介面。
 一般情況下一個key 對應一個IAuthenticatedEncryptor，IAuthenticatedEncryptor封裝了加密操作中需要使用到的秘鑰材料和必要的密碼編譯演算法資訊等。 

下面是IAuthenticatedEncryptor介面提供的兩個 api方法：
Decrypt(ArraySegment<byte> ciphertext, ArraySegment<byte> additionalAuthenticatedData) : byte[]
Encrypt(ArraySegment<byte> plaintext, ArraySegment<byte> additionalAuthenticatedData) : byte[]

其中介面中的參數additionalAuthenticatedData表示在構建加密的時候提供的一些附屬資訊。 

IAuthenticatedEncryptorDescriptor介面提供了一個建立包含類型資訊IAuthenticatedEncryptor執行個體方法。

CreateEncryptorInstance() : IAuthenticatedEncryptor
ExportToXml() : XmlSerializedDescriptorInfo

密鑰管理擴充 

在密鑰系統管理中，提供了一個基礎的介面IKey，它包含以下屬性： 

Activation
creation
expiration dates
Revocation status
Key identifier (a GUID)

IKey還提供了一個建立IAuthenticatedEncryptor執行個體的方法CreateEncryptorInstance。 

IKeyManager介面提供了一系列用來操作Key的方法，包括儲存，檢索操作等。他提供的進階操作有：

 •建立一個Key 並且持久儲存
 •從存放庫中擷取所有的 Key
 •撤銷儲存到儲存中的一個或多個鍵

XmlKeyManager
通常情況下，開發人員不需要去實現IKeyManager來自訂一個 KeyManager。我們可以使用系統預設提供的XmlKeyManager類。 

XMLKeyManager是一個具體實現IKeyManager的類，它提供了一些非常有用的方法。

 public sealed class XmlKeyManager : IKeyManager, IInternalXmlKeyManager{ public XmlKeyManager(IXmlRepository repository, IAuthenticatedEncryptorConfiguration configuration, IServiceProvider services); public IKey CreateNewKey(DateTimeOffset activationDate, DateTimeOffset expirationDate); public IReadOnlyCollection<IKey> GetAllKeys(); public CancellationToken GetCacheExpirationToken(); public void RevokeAllKeys(DateTimeOffset revocationDate, string reason = null); public void RevokeKey(Guid keyId, string reason = null);} 

•IAuthenticatedEncryptorConfiguration 主要是規定新 Key 使用的演算法。
•IXmlRepository 主要控制 Key 在哪裡持久化儲存。

IXmlRepository 

IXmlRepository介面主要提供了持久化以及檢索XML的方法，它只要提供了兩個API:
 •GetAllElements() : IReadOnlyCollection
 •StoreElement(XElement element, string friendlyName) 

我們可以通過實現IXmlRepository介面的StoreElement方法來定義data protection xml的儲存位置。 

GetAllElements來檢索所有存在的加密的xml檔案。 

介面部分寫到這裡吧，因為這一篇我想把重點放到下面，更多介面的介紹大家還是去官方文檔看吧～ 

叢集情境 

上面的API估計看著有點枯燥，那我們就來看看我們需要在叢集情境下藉助於Data Protection來做點什麼吧。 

就像我在【上篇】總結中末尾提到的，在做分布式叢集的時候，Data Protection的一些機制我們需要知道，因為如果不瞭解這些可能會給你的部署帶來一些麻煩，下面我們就來看看吧。 

在做叢集的時，我們必須知道並且明白關於 ASP.NET Core Data Protection 的三個東西：

1、程式識別者 

“Application discriminator”，它是用來標識應用程式的唯一性。
 為什麼需要這個東西呢？因為在叢集環境中，如果不被具體的硬體機器環境所限制，就要排除運行機器的一些差異，就需要抽象出來一些特定的標識，來標識應用程式本身並且使用該標識來區分不同的應用程式。這個時候，我們可以指定ApplicationDiscriminator。 

在services.AddDataProtection(DataProtectionOptions option)的時候，ApplicationDiscriminator可以作為參數傳遞，來看一下代碼：

 public void ConfigureServices(IServiceCollection services) { services.AddDataProtection(); services.AddDataProtection(DataProtectionOptions option);}//===========擴充方法如下：public static class DataProtectionServiceCollectionExtensions{ public static IDataProtectionBuilder AddDataProtection(this IServiceCollection services);  //具有可傳遞參數的重載，在叢集環境中需要使用此項配置 public static IDataProtectionBuilder AddDataProtection(this IServiceCollection services, Action<DataProtectionOptions> setupAction);}// DataProtectionOptions 屬性：public class DataProtectionOptions{ public string ApplicationDiscriminator { get; set; }} 

可以看到這個擴充返回的是一個IDataProtectionBuilder，在IDataProtectionBuilder還有一個擴充方法叫 SetApplicationName ,這個擴充方法在內部還是修改的ApplicationDiscriminator的值。也就說以下寫法是等價的：

services.AddDataProtection(x => x.ApplicationDiscriminator = "my_app_sample_identity");

services.AddDataProtection().SetApplicationName("my_app_sample_identity"); 

也就是說叢集環境下同一應用程式他們需要設定為相同的值（ApplicationName or ApplicationDiscriminator）。 

2、主加密鍵 

“Master encryption key”，主要是用來加密解密的，包括一用戶端伺服器在請求的過程中的一些會話資料，狀態等。有幾個可選項可以配置，比如使用認證或者是windows DPAPI或者註冊表等。如果是非windows平台，註冊表和Windows DPAPI就不能用了。

 public void ConfigureServices(IServiceCollection services) { services.AddDataProtection()  //windows dpaip 作為主加密鍵 .ProtectKeysWithDpapi()  //如果是 windows 8+ 或者windows server2012+ 可以使用此選項（基於Windows DPAPI-NG） .ProtectKeysWithDpapiNG("SID={current account SID}", DpapiNGProtectionDescriptorFlags.None)  //如果是 windows 8+ 或者windows server2012+ 可以使用此選項（基於認證） .ProtectKeysWithDpapiNG("CERTIFICATE=HashId:3BCE558E2AD3E0E34A7743EAB5AEA2A9BD2575A0", DpapiNGProtectionDescriptorFlags.None)  //使用認證作為主加密鍵，目前只有widnows支援，linux還不支援。 .ProtectKeysWithCertificate();} 

如果在叢集環境中，他們需要具有配置相同的主加密鍵。 

3、加密後儲存位置 

在【上篇】的時候說過，預設情況下Data Protection會產生 xml 檔案用來儲存session或者是狀態的密鑰檔案。這些檔案用來加密或者解密session等狀態資料。 

就是上篇中說的那個私密金鑰儲存位置：

1、如果程式寄宿在 Microsoft Azure下，儲存在“%HOME%\ASP.NET\DataProtection-Keys” 檔案夾。
 2、如果程式寄宿在IIS下，它被儲存在HKLM註冊表的ACLed特殊註冊表鍵，並且只有背景工作處理序可以訪問，它使用windows的DPAPI加密。
 3、如果目前使用者可用，即win10或者win7中，它儲存在“%LOCALAPPDATA%\ASP.NET\DataProtection-Keys”檔案夾，同樣使用的windows的DPAPI加密。
 4、如果這些都不符合，那麼也就是私密金鑰是沒有被持久化的，也就是說當進程關閉的時候，產生的私密金鑰就丟失了。 

叢集環境下：
 最簡單的方式是通過檔案分享權限設定、DPAPI或者註冊表，也就是說把加密過後的xml檔案都儲存在相同的地方。為什麼說最簡單，因為系統已經給封裝好了，不需要寫多餘的代碼了，但是要保證檔案分享權限設定相關的連接埠是開放的。如下：

 public void ConfigureServices(IServiceCollection services) { services.AddDataProtection() //windows、Linux、macOS 下可以使用此種方式 儲存到檔案系統 .PersistKeysToFileSystem(new System.IO.DirectoryInfo("C:\\share_keys\\")) //windows 下可以使用此種方式 儲存到註冊表 .PersistKeysToRegistry(Microsoft.Win32.RegistryKey.FromHandle(null)) } 

你也可以自己擴充方法來自己定義一些儲存，比如使用資料庫或者Redis等。 

不過通常情況下，如果在linux上部署的話，都是需要擴充的。下面來看一下我們想要用redis儲存，該怎麼做呢？ 

如何擴充加密鍵集合的儲存位置？ 

首先，定義個針對IXmlRepository介面的 redis 實作類別RedisXmlRepository.cs：

 public class RedisXmlRepository : IXmlRepository, IDisposable{ public static readonly string RedisHashKey = "DataProtectionXmlRepository";  private IConnectionMultiplexer _connection;  private bool _disposed = false;  public RedisXmlRepository(string connectionString, ILogger<RedisXmlRepository> logger)  : this(ConnectionMultiplexer.Connect(connectionString), logger) { }  public RedisXmlRepository(IConnectionMultiplexer connection, ILogger<RedisXmlRepository> logger) {  if (connection == null)  {   throw new ArgumentNullException(nameof(connection));  }   if (logger == null)  {   throw new ArgumentNullException(nameof(logger));  }   this._connection = connection;  this.Logger = logger;   var configuration = Regex.Replace(this._connection.Configuration, @"password\s*=\s*[^,]*", "password=****", RegexOptions.IgnoreCase);  this.Logger.LogDebug("Storing data protection keys in Redis: {RedisConfiguration}", configuration); }  public ILogger<RedisXmlRepository> Logger { get; private set; }  public void Dispose() {  this.Dispose(true); } public IReadOnlyCollection<XElement> GetAllElements() {  var database = this._connection.GetDatabase();  var hash = database.HashGetAll(RedisHashKey);  var elements = new List<XElement>();   if (hash == null || hash.Length == 0)  {   return elements.AsReadOnly();  }   foreach (var item in hash.ToStringDictionary())  {   elements.Add(XElement.Parse(item.Value));  }   this.Logger.LogDebug("Read {XmlElementCount} XML elements from Redis.", elements.Count);  return elements.AsReadOnly(); }  public void StoreElement(XElement element, string friendlyName) {  if (element == null)  {   throw new ArgumentNullException(nameof(element));  }   if (string.IsNullOrEmpty(friendlyName))  {   friendlyName = Guid.NewGuid().ToString();  }   this.Logger.LogDebug("Storing XML element with friendly name {XmlElementFriendlyName}.", friendlyName);   this._connection.GetDatabase().HashSet(RedisHashKey, friendlyName, element.ToString()); } protected virtual void Dispose(bool disposing) {  if (!this._disposed)  {   if (disposing)   {    if (this._connection != null)    {     this._connection.Close();     this._connection.Dispose();    }   }    this._connection = null;   this._disposed = true;  } }} 

然後任意一個擴充類中先定義一個擴充方法：

 public static IDataProtectionBuilder PersistKeysToRedis(this IDataProtectionBuilder builder, string redisConnectionString){ if (builder == null) {  throw new ArgumentNullException(nameof(builder)); } if (redisConnectionString == null) {  throw new ArgumentNullException(nameof(redisConnectionString)); } if (redisConnectionString.Length == 0) {  throw new ArgumentException("Redis connection string may not be empty.", nameof(redisConnectionString)); }  //因為在services.AddDataProtection()的時候，已經注入了IXmlRepository，所以應該先移除掉 //此處應該封裝成為一個方法來調用，為了讀者好理解，我就直接寫了 for (int i = builder.Services.Count - 1; i >= 0; i--) {  if (builder.Services[i]?.ServiceType == descriptor.ServiceType)  {   builder.Services.RemoveAt(i);  } }  var descriptor = ServiceDescriptor.Singleton<IXmlRepository>(services => new RedisXmlRepository(redisConnectionString, services.GetRequiredService<ILogger<RedisXmlRepository>>()))    builder.Services.Add(descriptor);    return builder.Use();} 

最終Services中關於DataProtection是這樣的：

 public void ConfigureServices(IServiceCollection services) { services.AddDataProtection()  // ================以下是唯一標識==============  //設定應用程式唯一標識 .SetApplicationName("my_app_sample_identity");   // =============以下是主加密鍵===============  //windows dpaip 作為主加密鍵 .ProtectKeysWithDpapi()  //如果是 windows 8+ 或者windows server2012+ 可以使用此選項（基於Windows DPAPI-NG） .ProtectKeysWithDpapiNG("SID={current account SID}", DpapiNGProtectionDescriptorFlags.None)  //如果是 windows 8+ 或者windows server2012+ 可以使用此選項（基於認證） .ProtectKeysWithDpapiNG("CERTIFICATE=HashId:3BCE558E2AD3E0E34A7743EAB5AEA2A9BD2575A0", DpapiNGProtectionDescriptorFlags.None)  //使用認證作為主加密鍵，目前只有widnows支援，linux還不支援。 .ProtectKeysWithCertificate();   // ==============以下是儲存位置=================  //windows、Linux、macOS 下可以使用此種方式 儲存到檔案系統 .PersistKeysToFileSystem(new System.IO.DirectoryInfo("C:\\share_keys\\"))  //windows 下可以使用此種方式 儲存到註冊表 .PersistKeysToRegistry(Microsoft.Win32.RegistryKey.FromHandle(null))    // 儲存到redis .PersistKeysToRedis(Configuration.Section["RedisConnection"])} 

在上面的配置中，我把所有可以使用的配置都列出來了哦，實際項目中應該視實際情況選擇。 

總結 

關於ASP.NET Core Data Protection 系列終於寫完了，其實這這部分花了蠻多時間的，對於Data Protection來說我也是一個循循漸進的學習過程，希望能協助到一些人。

以上就是本文的全部內容，希望對大家的學習有所協助，也希望大家多多支援雲棲社區。