我已经阅读了有关在 ASP.net 项目中加密 web.config 部分的 aspnet_regiis,但我很困惑这是如何工作的,因为解密密钥必须以明文形式存在于实际服务器上的某个地方。
理想情况下,我希望使用 AES 进行加密,但这需要将 aes 密钥以纯文本本身的形式添加到 web.config,这对我来说似乎没用。(来自https://stackoverflow.com/a/8777147)
也许我遗漏了一些东西..有人可以解释这个加密过程实际上是如何安全的吗?
问问题
862 次
2 回答
0
如果您能够登录到机器上的会话并可以访问密钥,那么 aspnet_regiis 加密很容易解密。
这可以防止有人可以查看文件但无法登录机器的情况以及解密密钥被正确 ACL 分配给一组已知用户的情况。
在底层它使用 DPAPI 和机器上下文特定信息。我相信您也可以使用用户配置文件进行加密,在这种情况下,没有其他用户可以解密它。
以下是一些有用的链接:
http://weblogs.asp.net/owscott/archive/2005/07/29/421063.aspx
http://weblogs.asp.net/scottgu/archive/2006/01/09/434893.aspx
于 2012-07-19T21:48:10.327 回答
0
您必须先创建一个密钥,然后在 web.config 中使用此密钥
可以在这里找到详细的解释:msdn microsoft
网络农场场景下的一个是最实用的。
如果您在 web.config 中有很多密码等,我认为加密它们很有用。
于 2012-07-19T21:10:52.513 回答