在Asp.net中的Web.config文件里面,有些隐私信息是我们不愿意被发现的,比如密码、数据库链接等,ASP.NET Configuration API 提供了加密、解密web.config中的配置片段(sections)支持。这为您保护隐私信息(如密码)提供了极大的便利。这篇文章中,我们将讨论如何加密、解密web.config中的sections。
有两种方法加密配置片段(sections),微软提供了两个providers:DPAPI(Windows Data Protection API)及RSA provider。其中RAS provider为默认。它使用RSA密钥,并拥有公钥和私钥。而DPAPI provider 则使用机器编译内规范密钥(built-in machine-specific key)。下面让我们使用RSA方法加密配置文件中的sections。
1: 打开 Visual Studio > 文件 > 网站> 选择语言(C# or Visual Basic) 及位置创建新的asp.net网站。
2: 然后为项目增加web.config 文件。右击项目>增加新项>WEB配置文件。
打开web.config文件,在<configuration>标记中增加以下所示行:
<appSettings>
<add key="var1" value="SomeValue"/>
</appSettings>
<connectionStrings>
<add name="MyConnString" connectionString="Data Source=(local);Initial Catalog=Northwind;Integrated Security=True;" />
</connectionStrings>
<system.web>...
</configuration>
3: 然后在页面中添加两个按钮。命名为:btnEncrypt 和 btnDecrypt. 我们将使用这两个按钮来加密、解密web.config中sections。为两个按钮添加以下button click事件代码:
using System.Configuration;
using System.Data.SqlClient;
using System.Web.Configuration;
string provider = "RSAProtectedConfigurationProvider";
string section = "connectionStrings";
protected void btnEncrypt_Click(object sender, EventArgs e)
{
try
{
Configuration confg = WebConfigurationManager.OpenWebConfiguration(Request.ApplicationPath);
ConfigurationSection confStrSect = confg.GetSection(section);
if (confStrSect != null)
{
confStrSect.SectionInformation.ProtectSection(provider);
confg.Save();
}
// the encrypted section is automatically decrypted!!
Response.Write("Configuration Section " + "<b>" +
WebConfigurationManager.ConnectionStrings["MyConnString"].ConnectionString + "</b>" + " is automatically decrypted");
}
catch (Exception ex)
{
}
}
protected void btnDecrypt_Click(object sender, EventArgs e)
{
try
{
Configuration confg = WebConfigurationManager.OpenWebConfiguration(Request.ApplicationPath);
ConfigurationSection confStrSect = confg.GetSection(section);
if (confStrSect != null && confStrSect.SectionInformation.IsProtected)
{
confStrSect.SectionInformation.UnprotectSection();
confg.Save();
}
}
catch (Exception ex)
{
}
}
在上面的代码中,我们使用指定的虚拟路径打开web.config文件,并将其转化为 System.Configuration.Configuration 对象。然后调用方法 GetSection()得到指定的ConfigurationSection对象,这里是connectionStrings。 ConfigurationSection.SectionInformation 属性为我们提供SectionInformation 对象, 最后为SectionInformation 对象调用方法: ProtectSection() 实现sections的加密.
同样,解密section时,只需要在SectionInformation 对象上调用UnprotectSection() 方法。
4: 下面我们在应用程序中回击加密按钮,然后关闭应用程序,打开web.config文件,你将看到<connectionString>部分已经被加密成以下的样子 :
<EncryptedData Type="http://www.w3.org/2001/04/xmlenc#Element"
xmlns="http://www.w3.org/2001/04/xmlenc#">
<EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#tripledes-cbc" />
<KeyInfo xmlns="http://www.w3.org/2000/09/xmldsig#">
<EncryptedKey xmlns="http://www.w3.org/2001/04/xmlenc#">
<EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#rsa-1_5" />
<KeyInfo xmlns="http://www.w3.org/2000/09/xmldsig#">
<KeyName>Rsa Key</KeyName>
</KeyInfo>
<CipherData>
<CipherValue>ZehN7B+VXBdJTe1X3NFz9Uz3NqxvjSMmbytLeHGNlZa4
JkkpRkXzphm5sedHeMTk5KZCHxoYrJ4ssJ0OcZnzLxNUrAB9Ie3y8xJVWJ2s0RQ
dmaGk5bSJADE1xKJBuOtDIOi/Ron7qJDWXwllC3v
vmNwgabmJ9RU+RN35TOQpznc=</CipherValue>
</CipherData>
</EncryptedKey>
</KeyInfo>
<CipherData>
<CipherValue>q2amqNwjeyEbMxF5pZ3XqfboNUJKSml773mPkISGi6uWCWCDPs
0ICClmH1eQYcsI9FlxFvEfyRyRRugqOU2xe+gd3aRZEZ5irpGFB45Fn6M+te7kg
OeTK1gjGEsbeaNjBNwgpcXMh9RiA9xVOvWlLAyJ3u8DsDQ+4JmM/zTUtxer/8Dl
UI7+u8D+9V4b5tWxShp4BToMFdTcefhMb19pGdn+jocGet
WBJirO5CJsLXI=</CipherValue>
</CipherData>
</EncryptedData>
</connectionStrings>
5: 再次运行程序,并点击“解密”按钮,你将看到 <connectionStrings> 片段(section)已返回加密前的样式,不再是无法阅读的加密字符了。
提示: 需要指出的是像一些 'section groups' 如 <system.net>, <mailSettings> 等,是不能加密的。只有'sections' 可以加密,除了 极少部分如: <configProtectedData>, <processModel>, <httpRuntime> 等一些被 ASP.NET/ISAPI访问的片段. 使用 aspnet_setreg.exe 命令行工具可以加密这些sections.
你也可以使用aspnet_regiis.exe 命令行工具加密Web.config文件中的sections
加密:
解密:
尽管ASP.NET拒绝了所有以.config扩展名的请求,但是当你将程序布置到WEB服务器,此时拥有文件访问权限的人将有机会阅读到这些敏感信息。ASP.NET提供了我们一些易于使用的办法保护配置section,我们应该充分利用这些办法。
转自:http://pxtfh.blog.163.com/blog/static/12313452009316532501/