如何在 Asp.Net Core 中管理用户敏感数据

最新推荐文章于 2023-09-25 07:59:21 发布
最新推荐文章于 2023-09-25 07:59:21 发布
阅读量255 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huangxinchen520/article/details/112032592
版权

译文链接:https://www.infoworld.com/article/3576292/how-to-work-with-user-secrets-in-asp-net-core.html

在应用程序开发时,你肯定会有一些特别需要保护的数据,这些数据通常是非常机密的,敏感的,禁止和别人共享,这些信息包括:数据库连接串,你懂的,毕竟里面有 userid 和 password,还有 OAuth 验证用到的 accesskey,apikey 或者配置 azure,aws 等云服务的连接信息。

当项目和别人共享的时候,这些敏感信息自然也暴露给了别人,这通常是我不想看到的结果,那怎么去预防呢? ASP.NET Core 中有一个叫做 User Secrets 特性,它允许将用户敏感信息存储在项目外的一个 json 文件中,那怎么去管理这个 json 文件呢? 你可以通过 命令行工具 Secrets Manager 去进行敏感信息的管理,这篇文章主要就是来聊一聊怎么去管理这个 User Secrets

在项目中添加 user secrets

可以很方便的将 user secrets 添加到你的项目中,你需要做的仅仅是。

  • 在解决方案管理器上选择 project

  • 右键点击选择 Manage User Secrets

然后 Visual Studio 2019 会自动打开一个 secrets.json 文件。

接下来在 secrets.json 中添加一些敏感数据。


{
  "ConnectionString": "This is a test connection string",
  "APIKey": "This is s secret key",
  "AppSettings": {
    "GlobalSettings": {
      "GlobalAccessKey": "This is a global access key!"
    }
  }
}

对了, 默认的 secret.json 文件路径如下:


C:\Users\38034\AppData\Roaming\Microsoft\UserSecrets\b87644d3-6898-47e4-8580-b3de15f22b96

把项目编译一下,然后打开 project 的meta文件 .csproj,你会发现新增了一个 UserSecretsId 节点,代码如下:


<Project Sdk="Microsoft.NET.Sdk.Web">
  <PropertyGroup>
    <TargetFramework>netcoreapp3.1</TargetFramework>
    <UserSecretsId>e4f51d14-ddc1-48f4-bb34-84c114e3d6d0</UserSecretsId>
  </PropertyGroup>
</Project>

使用 Secret Manager tool 管理工具

这个 Secret Manager tool 是 .NET Core 中的一个命令行管理工具,主要用来管理 Configuration 和 敏感数据,在这一节中我们一起看看怎么使用这个小工具。

生成 user secrets

在 cmd 窗口输入如下命令:


dotnet user-secrets init

新增 user secrets 内容

要想看到当前所有的 secrets,输入以下命令。


dotnet user-secrets list

下图展示了我之前创建的一些 key。

接下来用 set 命令设置一条敏感数据。


dotnet user-secrets set "AuthorApiKey" "xyz1@3"

访问 secret

为了能够实现用代码去访问,可以用 ASP.NET Core 里的 Configuration Api,HomeController 的代码如下:


    public class HomeController : Controller
    {
        private readonly ILogger<HomeController> _logger;
        public HomeController(ILogger<HomeController> logger)
        {
            _logger = logger;
        }
        //Action methods go here - this is done for brevity
    }

因为需要用 Configuration Api 去访问,这里我准备用依赖注入的方式来实现 configuration 的注入,代码如下:


    public class HomeController : Controller
    {
        private readonly ILogger<HomeController> _logger;
        private readonly IConfiguration _config;
        public HomeController(ILogger<HomeController> logger,
                              IConfiguration config)
        {
            _logger = logger;
            _config = config;
        }
        //Action methods go here - this is done for brevity
    }

删除 secret

要想删除这个 key,可以使用下面的命令。


dotnet user-secrets remove "AuthorApiKey"

如果你想移除所有的key,可以使用下面的命令。


dotnet user-secrets clear

如果你想移除某一个层级中的子层key,可以使用 : 运算符,代码如下:


dotnet user-secrets remove "AppSettings:GlobalSettings"

ASP.NET Core 重定义了对 Configuration 中的数据配置,管理和保护,而且还有这个非常 🐂👃的 User Secrets,可以很好的替代以前用环境变量的方式,而且可以确保源码中不再有任何敏感数据,毕竟 User Secrets 是存储在项目之外的一个文件夹下,这个路径之前也给大家看到了,是 windows 的一个 用户文件夹。

不过这里有一个缺点,存储在 User Secrets 中的数据是以明文形式存在的,不用怕,后面的文章我会讨论一些其他的方法来保护用户敏感数据,比如说:Azure application settingsAzure key vault

更多高质量干货:参见我的 GitHub: dotnetfly

一线码农
关注
asp.net core常见的4种数据加密算法
10-15
ASP.NET Core,数据加密是确保信息安全的重要手段。本文将深入探讨四种常见的加密算法,它们包括对称加密算法和非对称加密算法。在Web应用,加密常常用于保护用户的敏感信息,如密码,而MD5虽然常用于存储密码...
CSRF在ASP.NET Core的处理方法详解
10-18
ASP.NET Core,为了防止这种攻击,开发者可以使用AntiForgeryToken机制。本文将深入探讨ASP.NET Core处理CSRF的方法。 首先,了解AntiForgeryToken的工作原理至关重要。在视图层面上,通过`@...
如何在 Asp.Net Core 管理敏感数据
dotNET跨平台
12-05 451
译文链接:https://www.infoworld.com/article/3576292/how-to-work-with-user-secrets-in-asp-net-core....
ASP.NET Core的数据保护
承接各种网站建设开发定制
01-15 244
在这篇文章,我将介绍ASP.NETCore 数据保护系统:它是什么,为什么我们需要它,以及它如何工作。 为什么我们需要数据保护系统? 数据保护系统是ASP.NET Core使用的一组加密api。加密必须由不受信任的第三方处理的数据。 这方面的典型例子是身份验证cookie。cookie是在请求之间持久化状态的一种方法。你不希望每次向服务器请求时都必须提供用户名和密码,这将非常麻烦! 相反,只需向服务器提供一次凭据。服务器验证你的详细信息,并发出一个cookie,表明“他不需要提供任何其他证明.
ASP.NET Core 优雅的在开发环境保存机密(User Secrets)
weixin_34352449的博客
08-29 214
前言 在应用程序开发的过程,有的时候需要在代码保存一些机密的信息,比如加密密钥,字符串,或者是用户名密码等。通常的做法是保存到一个配置文件,在以前我们会把他保存到web.config,但是在ASP.NET Core,这一方式或许发生了改变,或者说你有更多多元化的方法, 以及更加优雅的的配置来设置或者保存这些机密资料。 起初我以为这个UserSecrets它并没有什么用,因为我有需要配置的...
ASP.NET Core 数据保护 - 保护您的应用程序数据
最新发布
PodProgram的博客
09-25 327
数据保护是 ASP.NET Core 一个重要的功能,它提供了一种简单而强大的方式来保护应用程序敏感数据,如用户凭据、令牌和其他敏感信息。在本文,我们将探讨 ASP.NET Core 数据保护的使用方法,并提供相应的源代码示例。数据保护是 ASP.NET Core 一个重要的功能,它提供了一种简单而强大的方式来保护应用程序敏感数据,如用户凭据、令牌和其他敏感信息。在本文,我们将探讨 ASP.NET Core 数据保护的使用方法,并提供相应的源代码示例。
ASP.NET设置背景图案
Aruko的博客
06-05 1万+
背景图案的设置有很多种方法, 可以通过CSS或者JavaScript设置等等 以及随窗口大小变化而变形的以及不随窗口大小变形的背景图案等等 我都不会 毕竟我压根没学过HTML,CSS,JavaScript啥的 不过我还是介绍一下如何设置背景,原理不懂,只要能设置上就OK (尬笑) 还是继续从之前两篇文章的程序开始 首先我们打开WebForm1.aspx 然后选择源,这里就是前端代码 因为这个Web窗口我啥也没写,所以东西很少 看到body标签了吗 < body >元素定义了 HTML 文档的
CustomUserManagement:具有身份的ASP.NET Core MVC的自定义用户管理
04-19
ASP.NET Core MVC框架,开发自定义用户管理系统是一项常见的任务,特别是在构建企业级Web应用程序时。本项目“CustomUserManagement”着重于如何利用C#编程语言和ASP.NET Core的身份认证系统来创建一个定制化的...
asp.net Core3.1微信小程序代付代码
07-13
在描述提到的"asp.net core 3.1 api 后台接口,小程序发起微信支付功能",意味着我们要讨论的是如何在ASP.NET Core 3.1实现微信小程序的代付(或支付)功能。 首先,我们需要了解微信支付的流程。微信支付是由...
ASP.NET 网页设计如何设置全局背景图片
热门推荐
Finder_Way
07-27 2万+
方法1: 山西飞线资源投放系统登录    body { background-image: url(Images/leftbg.gif);}--> 方法2:    山西资源投放系统登录 body{ background-image: url(Images/apple_3.jpg)
在.NET使用User Secrets(用户机密)
dotNET跨平台
02-12 910
.NET的User Secret(有时也叫机密管理)功能到现在已经很久了(好像从.NET Core 2.0开始)。鼓励开发者把邮件、Slack、Teams的密码或全部保密文件发出去。我也不明白开发者在本地能有什么秘密不能和团队共享的。因此,一个集式的的机密储存应用更受欢迎,比如Azure Keyvault。但是在过去的几个月,我看到了它们的价值。现实,我用User Secret主要为了“它...
views 多个文件夹 netcore_ASP.NET Core 管道再探
weixin_39834678的博客
11-27 203
几乎任何服务器端处理环境都有自己的直通组件管道,用于检查、重路由或修改传入请求和传出响应。经典 ASP.NET 围绕 HTTP 模块理念进行排列,而 ASP.NET Core 采用基于间件组件的更现代的体系结构。最终目的是相同的 - 允许可配置的外部模块以请求(以及稍后的响应)在服务器环境传递的方式进行干预。间件组件的主要目的是以某种方式改变和筛选数据流(在某些特定情况下,只是使请...
保护 .NET Core 项目的敏感信息
dotNET跨平台
09-20 288
我们的项目几乎都会有配置文件,里面可能会存储一些敏感信息,比如数据库连接字符串、第三方API的AppKey和SecretKey等。对于开源项目,这些敏感信息肯定不能随着源代码一起提交到...
Dapr for dotnet | 密钥管理 - Secret Management
ChaITSimpleLove的博客
04-18 6957
密钥管理Secret Management)简介 应用程序通常会通过使用专用的密钥存储来秘密存储敏感信息,常见示例包括: 包含用户名和密码的数据库连接字符串。 用于调用外部 Web API 的 API 密钥。 用于对外部系统进行身份验证的客户端证书/令牌。 必须谨慎管理机密,以免在应用程序之外泄露。 传统的做法是 将应用程序机密存储在应用程序代码库内的配置文件, .NET 开发人员一想到 web.config 文件就会很亲切。 虽然实现起来很简单,但 将机密与代码集成在一起并不安全。 常见的错误
Asp.NET Core如何优雅的管理用户机密数据
farway000的博客
06-10 1057
Asp.NET Core如何优雅的管理用户机密数据背景回顾在软件开发过程,使用配置文件来管理某些对应用程序运行需要使用的参数是常见的作法。在早期VB/VB.NET时代,经常使用....
.netcore 如何获取系统所有session_在Asp.NET Core如何优雅的管理用户机密数据...
weixin_39919089的博客
10-29 569
Asp.NET Core如何优雅的管理用户机密数据背景回顾在软件开发过程,使用配置文件来管理某些对应用程序运行需要使用的参数是常见的作法。在早期VB/VB.NET时代,经常使用.ini文件来进行配置管理;而在.NET FX开发,我们则倾向于使用web.config文件,通过配置appsetting的配置节来处理;而在.NET Core开发,我们有了新的基于json格式的app...
.Net如何优雅的对输出字段进行脱敏
zls365365的博客
03-12 1077
背景:在平常工作,我们会遇到很多场景,需要对提供给前端(Web、APP)或三方的接口敏感字段(如:姓名、身份证、手机号、银行卡等)进行脱敏处理。相信多数程序员同学最常用的方式是写一个脱...
ASP.NET Core 数据保护深入解析:集群场景与扩展
ASP.NET Core的数据保护(Data Protection)框架是一个强大的工具,用于保护应用程序敏感数据,如cookies、令牌或存储的用户信息。这个框架提供了内置的安全加密机制,确保即使数据在传输过程被拦截,攻击者也...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值