你好,
在我的 ASP.NET Core 应用程序中,我使用 OpenIdConnectServer 进行 Api 身份验证。一切正常。
但是有一件事我无法解决 - 如何设置自定义文件夹以保留令牌签名密钥?
在服务配置中,我有:
services.AddDataProtection()
.PersistKeysToFileSystem(new DirectoryInfo(@"keys/"));
首次运行后,会在此处创建应用程序密钥。但是 OpenIdServer 以某种方式自行管理密钥。
app.UseOpenIdConnectServer(options => {
...
options.DataProtectionProvider = app.ApplicationServices.GetDataProtectionProvider();
...
});
尽管如此,凭证签名密钥是在默认位置创建的:
A new RSA key ... persisted on the disk: /home/.../.aspnet/aspnet-contrib/oidc-server/<some guid>.key.
这是错误还是功能?如何强制服务器将密钥也存储在keys/
文件夹中?
摘要 - 为什么我这样做:
我的想法是从这n 个docker 图像构建一个 API ,将其隐藏在负载均衡器后面并在云中的某个地方运行。问题是 - 当 docker 中的每个实例创建它自己的应用程序和签名密钥时,加密的身份验证令牌将不适用于任何其他实例,除了已创建并使用其密钥签署令牌的实例。因此,我试图将相同的密钥分发给每个运行的 docker 映像。如果可能,到预定义的应用程序文件夹。
或者有没有更好的方法或最佳实践?
提前谢谢你。