ASP.NET Core 的数据保护 API(Data Protection API)主要用于安全地加密和解密数据,比如防止用户篡改身份验证票据、防伪令牌(anti-forgery tokens)、临时凭证等。它不是通用的加密库,而是为常见 Web 场景设计的安全机制。
启用数据保护服务
在 ASP.NET Core 应用中,数据保护系统通常由框架自动配置。你只需要在 Program.cs 中确保已添加相关服务:
services.AddDataProtection();这会注册数据保护服务,并设置默认的加密机制和密钥存储位置(如开发环境使用临时文件夹)。
基本用法:加密与解密
通过依赖注入获取 IDataProtector 接口实例,然后调用 Protect 和 Unprotect 方法。
示例:
var protector = services.GetDataProtector("MyPurpose");var protectedData = protector.Protect("Hello World"); // 加密
var originalData = protector.Unprotect(protectedData); // 解密
"MyPurpose" 是目的字符串(purpose string),用于隔离不同用途的数据。相同目的才能解密,增强安全性。
设置保护作用域(Purposes)
你可以链式添加多个目的来细化保护策略:
var specificProtector = protector.CreateProtector("FeatureA", "Step1");var encrypted = specificProtector.Protect("sensitive info");
只有使用完全相同的“目的链”才能成功解密,避免跨功能误用或攻击。
持久化密钥与多服务器部署
默认情况下,密钥保存在本地磁盘(如 %LOCALAPPDATA% 或 %TEMP%)。生产环境多实例部署时,需共享密钥存储。
常见方案:
将密钥保存到 Azure Blob 存储:.PersistKeysToAzureBlobStorage(new Uri("...")) 使用 Redis:
.PersistKeysToStackExchangeRedis(redis, "DataProtection-Keys") 保存到数据库或共享文件路径(不推荐长期使用)
配置加密算法
可指定使用 AES 等算法进行加密:
services.AddDataProtection().UseCryptographicAlgorithms(new AuthenticatedEncryptionSettings
{
EncryptionAlgorithm = EncryptionAlgorithm.AES_256_CBC,
ValidationAlgorithm = ValidationAlgorithm.HMACSHA256
});
注意:应使用强算法组合,并定期轮换密钥。
自动密钥轮换
数据保护系统默认每 90 天生成新密钥,旧密钥保留一段时间(默认14天)以支持解密历史数据。可通过配置调整:
services.AddDataProtection().SetDefaultKeyLifetime(TimeSpan.FromDays(30));
基本上就这些。合理使用数据保护 API 能有效防止敏感信息被篡改,关键是正确设置目的字符串、持久化密钥并保障生产环境下的密钥安全。
