ASP.NET Core 教学 - 强制 SSL

最新推荐文章于 2025-07-23 13:53:13 发布
转载 最新推荐文章于 2025-07-23 13:53:13 发布 · 898 阅读 · 1 ·
CC 4.0 BY-SA版权
原文链接:https://blog.youkuaiyun.com/WuLex

本文介绍了 ASP.NET Core 强制使用 SSL 加密连线的方法。首先说明了启用 SSL 的方式,可通过图形化工具或直接编辑。接着阐述强制 SSL 的设定,包括安装套件、区域或全域注册等。还提到 URL Rewrite 可让整个网站使用 HTTPS,最终实现安全的 SSL 连线。

网站安全性越做越高,不免都要使用 HTTPS 加密连线,但本机用 localhost 都是 HTTP,想测试 HTTPS 需要额外的设定。
本篇将介绍 ASP.NET Core 强制使用 SSL 加密连线。

启用 SSL

可以再 Web 专案点滑鼠右键,用图形化的工具启用 SSL Port,如下:

或直接编辑 Properties\launchSettings.json

{
  "iisSettings": {
    "windowsAuthentication": false,
    "anonymousAuthentication": true,
    "iisExpress": {
      "applicationUrl": "http://localhost:33333/",
      "sslPort": 44333
    }
  },
  "profiles": {
    "IIS Express": {
      "commandName": "IISExpress",
      "launchBrowser": true
    }
  }
}

设定 SSL Port 后,就可以在 localhost 使用 HTTPS 了。但会遇到隐私权问题,因为我们没有真的汇入凭证,可以先把他忽略。步骤如下:

强制 SSL

只有单纯启动 SSL Port 的话,依然可以使用 HTTP,只要自己更改网址列就可以。强制走 HTTPS 的话还要经过以下设定。

先安装两个套件:

  1. Microsoft.AspNetCore.Mvc
  2. Microsoft.AspNetCore.Rewrite

要强制使用 HTTPS 的页面可以在 Action 或 Controller 注册 RequireHttpsAttribute 或注册于全域范围,只要不是 HTTPS 就会回传 HTTP Status Code 302 并转址到 HTTPS,如下:

  • 区域注册
    Controllers\UserController.cs
using Microsoft.AspNetCore.Mvc;
// ...
namespace MyWebsite.Controllers
{
    // 区域注册
    [RequireHttps]
    public class UserController : Controller
    {
        // ...
    }
}
  • 全域注册
    Startup.cs
using Microsoft.AspNetCore.Mvc;
// ...
public class Startup
{
    public void ConfigureServices(IServiceCollection services)
    {
        // 全域注册
        services.Configure<MvcOptions>(options =>
        {
            options.Filters.Add(new RequireHttpsAttribute());
        });
    }
}

RequireHttpsAttribute 转址预设是转到 443 Port,如果 HTTPS 不是用 443 Prot,就要在注册 MVC 服务的时候,修改 SslPort,如下:

Startup.cs

// ...
public class Startup
{
    private readonly int _httpsPort;

    public Startup(IHostingEnvironment env)
    {
        if (env.IsDevelopment())
        {
            var builder = new ConfigurationBuilder()
                .SetBasePath(env.ContentRootPath)
                .AddJsonFile(@"Properties/launchSettings.json");
            var launchConfig = builder.Build();
            _httpsPort = launchConfig.GetValue<int>("iisSettings:iisExpress:sslPort");
        }
    }

    public void ConfigureServices(IServiceCollection services)
    {
        services.AddMvc(options => options.SslPort = _httpsPort);
        // ...
    }
}

RequireHttpsAttribute 的方式,只能限制到 MVC / API 的部分,并没有办法连静态档案都强制使用 HTTPS。
如果整个网站都要用 HTTPS 的话,可以加入 URL Rewrite,将非 HTTPS 都转址到 HTTPS。
Startup.Configure 呼叫 UseRewriter 加入转址的 Pipeline,如下:

Startup.cs

// ...
public class Startup
{
    // ...
    public void Configure(IApplicationBuilder app, )
    {        
        app.UseRewriter(new RewriteOptions().AddRedirectToHttps(301, _httpsPort));
        // ...
    }
}

完成以上设定后,不管是用 HTTP 还是 HTTPS 最终都会转到 HTTPS 用 SSL 连线了。
为了网站有更高的安全性,就全部都用 SSL 吧!

执行结果

参考

Enforcing SSL in an ASP.NET Core app

第4章 .NET 8.0 ASP.NET Core图书管理系统 :项目布局
代数的博客
07-21 1094
在本章中,我们深入探讨了ASP.NET Core图书管理系统(BookQuerySystem)的项目布局和关键文件。我们首先从Project.cs文件开始,了解了它是如何作为应用程序的入口点,并配置服务和中间件的。接着,我们详细解释了顶级语句的工作原理,以及它们如何在简化代码结构的同时保持应用程序的灵活性和可扩展性。然后,我们讨论了appsettings.json文件的重要性,它用于存储应用程序的配置设置,如日志级别和允许的主机名。
零失败指南:手把手用宝塔面板在Linux上部署ASP.NET Core应用——从入门到运维全解析
墨夶的博客
07-04 768
【代码】零失败指南:手把手用宝塔面板在Linux上部署ASP.NET Core应用——从入门到运维全解析。
Asp.net core增加SSL支持
小数点儿的博客
04-29 876
制作证书 证书种类 1.带有私钥的证书 由Public Key Cryptography Standards #12,PKCS#12标准定义,包含了公钥和私钥的二进制格式的证书形式,以pfx作为证书文件后缀名。 2.二进制编码的证书 证书中没有私钥,DER 编码二进制格式的证书文件,以cer作为证书文件后缀名。 3.Base64编码的证书 证书中没有私钥,BASE64 编码格式的证书文件,也是以c...
ASP.NET Core Kestrel 中使用 HTTPS (SSL
01-20
ASP.NET Core中,如果在Kestrel中想使用HTTPS对站点进行加密传输,可以按照如下方式  申请证书  这一步就不详细说了,有免费的和收费的,申请完成之后会给你一个*.pfx结尾的文件。  添加NuGet包  nuget中查找然后再程序中添加引用Microsoft.AspNetCore.Server.Kestrel.Https  配置  把*.pfx结尾的文件拷贝的程序的Web根目录,然后修改Programs.cs文件: public class Program { public static void Main(string[] args) {
ASP.NET MVC 中使用 HTTPS (SSL/TLS)
weixin_30478757的博客
08-07 519
某些安全性较高的网页,如网上支付或用户登陆页面,可能会使用到https(SSL/TLS)来提高安全性。本文介绍了如何在ASP.NET MVC中强制某action使用https和如何进行向https页面的跳转。我们先实现强制一个action使用https。这里写了一个RequireHttpsAttribute,它的作用是将非https连接转换成https连接,这样所有使用了RequireH...
asp.net中实现登陆的时候用SSL
weixin_33795743的博客
12-19 184
为了执行授权,Web   服务经常需要能够对它们的调用方(其它应用程序)进行身份验证。客户端证书为   Web   服务提供了一种非常好的身份验证机制。如果您使用客户端证书,您的应用程序也会得益于客户端应用程序和   Web   服务之间的安全通道创建(使用安全套接字层   [SSL])。这样您就可以安全地在   Web   服务之间传送保密信息。SSL   确保消息的完整性和机密性。      ...
.NET关于 跳过SSL中遇到的问题
人生在手
11-10 1227
.NET关于 跳过SSL中遇到的问题
Asp.Net core下Swagger适配二级目录及Nginx SSL证书配置
ldy的专栏
09-13 1295
文章目录一、背景二、环境三、实现1.Nginx配置2.Swagger相关代码和配置调整2.1 Swagger相关代码和配置调整总结 一、背景   当前,前后端分离以及微服务化已经是趋势。因此,后端通常会有多个webapi应用。为访问多个应用,可以采用多个域名/IP或者单个域名/IP加不同端口的方式。但通常域名或者IP有限,而不同端口要采用非80/443等默认端口,也会导致不便。因此,单域名/IP+默认端口+二级目录就成为一种比较友好和方便的方式。 二、环境 asp.net core 3.1 (3.1.8
23、保障ASP.NET Core应用中gRPC端点的安全:SSL/TLS的应用
最新发布
1a2s3d4f5g的博客
07-23 48
本文详细介绍了如何保障ASP.NET Core应用中gRPC端点的安全,重点探讨了SSL/TLS的应用。内容涵盖gRPC客户端的配置、无加密通信测试、TLS证书基础、创建和信任自签名证书的方法,以及在ASP.NET Core中应用证书的步骤。同时,还总结了常见问题及解决方法、性能考虑及未来趋势,帮助开发者全面掌握gRPC端点的安全配置。
ASP.NetCore程序启用SSL
热门推荐
词语大杂烩
09-27 1万+
由于ASP.NetCore默认服务器Kestrel不像iis Express那样会自动生成本地证书,所以就需要手动构建pfx证书. 生成pfx证书 开发环境证书就用iis默认的本地证书即可,Cortana搜索:IIS,出现以下结果点击 进入管理器:点击服务器证书选项 选中以下本地默认证书后右键导出,指定路径和密码点击确认. 修改Program中Buil
(HTTPS)-强制 SSL (HTTPS)Filter
dengkuituo0680的博客
11-04 267
汗,无知真可怕,Servlert规范中已经有自动跳转到保护页面(Http - Https)的方法了: web.xml <security-constraint> <display-name>Test Auth</display-name> <web-resource-collection&...
.NET CORE学习笔记系列(4)——ASP.NET CORE 程序启用SSL
weixin_30929195的博客
08-21 424
一、什么是SSL?   1、概念:   SSL(Secure Sockets Layer安全套接层),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。SSLNetscape所研发,用以保障在Internet上数据传输之安全,利用数据加密(Encryption)技术,可确...
强制ASP.NET Web应用程序使用SSL
cunchi8090的博客
07-18 296
https: instead of https :而不是http: to access your application, and your ASP.NET application should have the ability to automatically switch to the secure mode (https) if user comes to the application f...
如何在ASP.Net Core强制执行SSL
cxu0262的博客
05-15 519
安全套接字层(简称SSL)是一种标准的安全协议,用于加密Web服务器和Web浏览器之间的通信。 SSL很重要! 没有它,服务器和客户端之间交换的信息将以纯文本格式发送,因此任何能够捕获数据的黑客都可以读取。 SSL确保服务器和客户端之间发送的信息始终被加密。 即使捕获了您的敏感数据(用户名,密码,信用卡详细信息等),对于缺少在通信会话期间由服务器和客户端共享的SSL证书和加密密钥的任何人,...
ASP.NET Core 基础知识】--安全性--SSL和HTTPS配置
喵叔
02-16 3052
本文从SSL和HTTPS的基础知识讲起,然后。
Apache 强制SSL访问
weixin_30879169的博客
06-26 217
RewriteEngine On RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301] 转载于:https://www.cnblogs.com/jiangwenwen1/p/11089093.html
强制SSL(HTTPS) Servlet Filter
Fred Lee的程序人生
11-13 3483
Servlert规范中已经有自动跳转到保护页面(Http - Https)的方法了: web.xml     Test Auth          Protected Area      /*       DELETE      GET      POST      PUT              SSL required      CONFIDENTIAL       Bas
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值