在C#中使用Azure Key Vault安全访问密钥,核心是通过Azure.Identity和Azure.Security.KeyVault.Secrets这两个NuGet包,配合托管身份(推荐)或服务主体完成认证,再调用客户端读取密钥、证书或机密。
安装必要NuGet包
项目中需引入以下两个基础包:
Azure.Identity:提供统一的身份验证方式(如DefaultAzureCredential) Azure.Security.KeyVault.Secrets:用于操作Key Vault中的机密(Secret)、密钥(Key)、证书(Certificate)可通过Package Manager Console安装:
Install-Package Azure.IdentityInstall-Package Azure.Security.KeyVault.Secrets
配置Azure Key Vault访问权限
确保你的应用有权限访问Key Vault:
在Azure门户中打开目标Key Vault → “访问策略” → 添加新策略 选择主体(如系统分配的托管身份、用户、或注册的应用) 勾选“机密权限”中的Get和List(读取所需) 保存后策略可能需要几分钟生效代码中安全读取机密(推荐托管身份)
若应用部署在Azure VM、App Service、Function等支持托管身份的服务上,直接用DefaultAzureCredential最安全(无需硬编码凭据):
using Azure.Identity;using Azure.Security.KeyVault.Secrets;
var keyVaultUrl = "https://your-vault-name.vault.azure.net/";
var client = new SecretClient(new Uri(keyVaultUrl), new DefaultAzureCredential());
try
{
var response = await client.GetSecretAsync("MyDatabasePassword");
string secretValue = response.Value.Value;
// 使用secretValue,例如连接字符串中注入
}
catch (Exception ex)
{
// 处理权限拒绝、网络失败、机密不存在等异常
本地开发时的替代认证方式
本地调试无法用托管身份,可选用以下任一方式(按安全优先级排序):
Azure CLI登录:运行az login后,DefaultAzureCredential会自动使用CLI凭证(需安装Azure CLI) Visual Studio登录:在VS中用Azure账户登录(Tools → Options → Azure Service Authentication) 环境变量(仅测试):设置AZURE_CLIENT_ID、AZURE_CLIENT_SECRET、AZURE_TENANT_ID(不建议提交到代码或Git)注意:避免在代码中写死ClientSecret或使用用户名密码认证,这些方式已逐步弃用。
基本上就这些。关键点是:用托管身份代替密钥硬编码,用DefaultAzureCredential统一处理不同环境认证,再通过SecretClient安全获取值。整个过程不暴露凭据,符合最小权限原则。
