ASP.NET连接字符串加密
本文介绍如何使用ASP.NET 2.0内置工具aspnet_regiis.exe加密Web.config文件中的连接字符串,保护数据库敏感信息。文章详细展示了加密及解密命令,并提供了加密前后Web.config文件的对比。
asp.net里面web.config文件中的连接字符串是以明码形式保存的,通常存储内容包括数据库服务器名称、数据库名称、账号、甚至包括密码。这种做法的缺点显而易见:开发团队中所有人员都有机会看到这些敏感信息。
为了解决这个问题,ASP.NET 2.0支持一种将连接字符串等敏感信息加密存储于是Web.config文件中的方法.进入.net 的SDK命令提示符,使用命令行工具aspnet_regiis.exe.该应用程序位于“%systemroot%/Micrsoft.NET/Framework/versionNumber”文件夹中。aspnet_regiis.exe是一种常见的命令行解释器,开发人员只需按照简单的语法要求输入命令,就可以完成连接字符串的加密或解密的任务。
假设需要加密的Web.config文件位于“D:/website2”文件夹中,则使用的命令行如下。 aspnet_regiis.exe -pef “connectionStrings” “D:/website2”
参数"-pef"表示根据文件绝对路径执行加密配置节;“connectionStrins”表示所加密的配置节名称;“D:/website2”表示Web.config文件所在文件夹绝对路径。
加密结束后,aspnet_regiis.exe将提示开发人员加密成功
web.config文件加密前的源代码
<?xml version="1.0" encoding="utf-8"?>
<!--
注意: 除了手动编辑此文件以外,您还可以使用
Web 管理工具来配置应用程序的设置。可以使用 Visual Studio 中的
“网站”->“Asp.Net 配置”选项。
设置和注释的完整列表在
machine.config.comments 中,该文件通常位于
/Windows/Microsoft.Net/Framework/v2.x/Config 中
-->
<configuration>
<appSettings/>
<connectionStrings>
<add name="NorthwindConnectionString" connectionString="Data Source=LQ;Initial Catalog=Northwind;Integrated Security=True" providerName="System.Data.SqlClient" />
</connectionStrings>
<system.web>
<!--
设置 compilation debug="true" 将调试符号插入
已编译的页面中。但由于这会
影响性能,因此只在开发过程中将此值
设置为 true。
-->
<compilation debug="false" />
<!--
通过 <authentication> 节可以配置 ASP.NET 使用的
安全身份验证模式,
以标识传入的用户。
-->
<authentication mode="Windows" />
<!--
如果在执行请求的过程中出现未处理的错误,
则通过 <customErrors> 节可以配置相应的处理步骤。具体说来,
开发人员通过该节可以配置
要显示的 html 错误页
以代替错误堆栈跟踪。
<customErrors mode="RemoteOnly" defaultRedirect="GenericErrorPage.htm">
<error statusCode="403" redirect="NoAccess.htm" />
<error statusCode="404" redirect="FileNotFound.htm" />
</customErrors>
-->
</system.web>
</configuration>
web.config文件加密后的源代码
<?xml version="1.0" encoding="utf-8"?>
<!--
注意: 除了手动编辑此文件以外,您还可以使用
Web 管理工具来配置应用程序的设置。可以使用 Visual Studio 中的
“网站”->“Asp.Net 配置”选项。
设置和注释的完整列表在
machine.config.comments 中,该文件通常位于
/Windows/Microsoft.Net/Framework/v2.x/Config 中
-->
<configuration>
<appSettings/>
<connectionStrings configProtectionProvider="RsaProtectedConfigurationProvider">
<EncryptedData Type="http://www.w3.org/2001/04/xmlenc#Element"
xmlns="http://www.w3.org/2001/04/xmlenc#">
<EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#tripledes-cbc" />
<KeyInfo xmlns="http://www.w3.org/2000/09/xmldsig#">
<EncryptedKey xmlns="http://www.w3.org/2001/04/xmlenc#">
<EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#rsa-1_5" />
<KeyInfo xmlns="http://www.w3.org/2000/09/xmldsig#">
<KeyName>Rsa Key</KeyName>
</KeyInfo>
<CipherData>
<CipherValue>3OvsvxWmgaGfM9LnG7m+65eID/pgmrKMKb/xqGPAPY1vtmaYMqDrck2lslyZnV7YTMS8FIJZ19w2WbexEISraDRCSP8lu6dWx8fz1fTraI/I7mJd8g4ljrtRD5ziKWnS8wCCICVBZEz6ykrrRL3H5OHNBlCEdpKcuXkur6CN1jM=</CipherValue>
</CipherData>
</EncryptedKey>
</KeyInfo>
<CipherData>
<CipherValue>GBNCrtRN5ynPl6g6puxrSvYy75xn+ydLSPt/BYhksZOerE5zR4foZaH7GKHbH1eye0bhglQXuqYo4+8RCAIgeEFeUQkRHgmwnoTUicJC6JxI4tVTzpE1Baq2JHHTNQWZ+9PS5TuHHM4i4fiku9lYjBynvXekWYfnEoEH4kuFE2WACONPEYDrbDFL2CmcUVdfZ745K5VmnMO3Z1kovgYSeklYc8wdD5GJpapH0rL3r0dtUsqd7KNsg2K7fbprDP+1P851pc6E69C9ILaSzkkkpNWH+upcXAB3w9iumCd8YSk=</CipherValue>
</CipherData>
</EncryptedData>
</connectionStrings>
<system.web>
<!--
设置 compilation debug="true" 将调试符号插入
已编译的页面中。但由于这会
影响性能,因此只在开发过程中将此值
设置为 true。
-->
<compilation debug="false" />
<!--
通过 <authentication> 节可以配置 ASP.NET 使用的
安全身份验证模式,
以标识传入的用户。
-->
<authentication mode="Windows" />
<!--
如果在执行请求的过程中出现未处理的错误,
则通过 <customErrors> 节可以配置相应的处理步骤。具体说来,
开发人员通过该节可以配置
要显示的 html 错误页
以代替错误堆栈跟踪。
<customErrors mode="RemoteOnly" defaultRedirect="GenericErrorPage.htm">
<error statusCode="403" redirect="NoAccess.htm" />
<error statusCode="404" redirect="FileNotFound.htm" />
</customErrors>
-->
</system.web>
</configuration>
连接字符串加密后,其它人很难在不经过解密的情况下,了解具体的连接字符串内容。
解密的命令如下: aspnet_regiis.exe -pdf “connectionStrings” “D:/website2”
需要注意的是,加密过程中使用了一个基于本机的密钥,这意味着解密过程必须在同一台计算机上完成。如果是将加密后的Web.config文件移动到其它计算机上,那么Web.config文件中的连接字符串将不能够正常解密。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
