10

我有一个 ASP.Net C# 应用程序,它需要每 5 分钟使用 WebServices 连接到外部 API。

外部 Web 服务的要求如下:

  • 需要用户名和密码
  • 我必须在每个网络服务请求中传输用户名和密码
  • 密码每 90 天到期一次,必须在到期日之前更改
  • 密码不能手动(人工)更改,我的应用程序必须连接到单独的密码更改 Web 服务才能更改密码。
  • 我的应用程序必须根据一组规则生成每个新密码。
  • 密码永远不能重复使用。
  • 需要 SSL、证书和防火墙 IP 限制

我已经建立了所有以前的,但我目前有一个问题。存储当前和历史密码的最佳做法是什么?

显然存储明文密码是一个不好的解决方案。我需要能够让我的网络服务读取密码并在每个请求中传输它。我还需要能够访问所有历史密码,以确保我新生成的密码不重复。

理想情况下,我想将每个(加密的)密码存储在我的数据库中,并在需要调用 web 服务时对其进行解密。是否有我应该遵循的最佳实践?我应该使用 Microsoft.Practices.EnterpriseLibrary.Security.Cryptography.Cryptographer.EncryptSymmetric(..) 加密每个密码吗?

注意:不幸的是,我无权更改外部 API 的运行方式。我必须遵守提供的规则。

4

3 回答 3

6

关于密码历史,我会选择以下两条路线之一:

  1. 根据您当前的计划,将密码存储在 file/db/config - 建议您使用散列算法(而不是加密)将新密码与存储的密码散列进行“相等”比较。

  2. 根本不必费心存储密码历史记录 - 如果第一次尝试更改密码 Web 服务也会失败,然后使用替代密码重新发送。这样,您就不会复制密码更改 Web 服务的业务规则(例如,假设他们更改它以允许您在 6 个月后重新使用密码)。

关于存储当前密码:假设您必须以明文形式发送密码,那么是的,您应该以加密形式存储它。有很多关于如何做到这一点的文章。或者您甚至可以加密配置文件的特定部分,例如此处所示

于 2011-06-28T22:34:09.113 回答
1

最简单的方法...使用 ProtectedData 类:

http://msdn.microsoft.com/en-us/library/system.security.cryptography.protecteddata.aspx

byte[] bytes = System.Text.Encoding.UTF8.GetBytes(password);
byte[] cypher = ProtectedData.Protect(data, null, DataProtectionScope.CurrentUser);
//... reverse
byte[] bytes = ProtectedData.Unprotect(cypher, null, DataProtectionScope.CurrentUser);
string password = System.Text.Encoding.UTF8.GetString(bytes);
于 2011-06-28T22:44:59.680 回答
0

ASP.NET IIS 注册工具 (Aspnet_regiis.exe) 可以加密和解密 web.config 的部分。应用程序中不需要特殊代码,因为 ASP.NET 2.0 会在运行时神奇地解密部分。

http://msdn2.microsoft.com/en-us/library/zhhddkxy.aspx

于 2011-06-28T22:29:16.083 回答