集群环境下_集群环境下,你不得不注意的ASP.NET Core Data Protection 机制

最新推荐文章于 2021-04-02 15:19:02 发布
最新推荐文章于 2021-04-02 15:19:02 发布
阅读量245 收藏
点赞数
文章标签: 集群环境下
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33138295/article/details/112706570
版权

引言

最近线上环境遇到一个问题,就是ASP.NET Core Web应用在单个容器使用正常,扩展多个容器无法访问的问题。查看容器日志,发现以下异常:

System.Security.Cryptography.CryptographicException: The key {efbb9f35-3a49-4f7f-af19-0f888fb3e04b} was not found in the key ring.

2019-09-30T18:34:55.473037193+08:00 at Microsoft.AspNetCore.DataProtection.KeyManagement.KeyRingBasedDataProtector.UnprotectCore(Byte[] protectedData, Boolean allowOperationsOnRevokedKeys, UnprotectStatus& status)

2019-09-30T18:34:55.473046762+08:00 at Microsoft.AspNetCore.DataProtection.KeyManagement.KeyRingBasedDataProtector.DangerousUnprotect(Byte[] protectedData, Boolean ignoreRevocationErrors, Boolean& requiresMigration, Boolean& wasRevoked)

2019-09-30T18:34:55.473055477+08:00 at Microsoft.AspNetCore.DataProtection.KeyManagement.KeyRingBasedDataProtector.Unprotect(Byte[] protectedData)

2019-09-30T18:34:55.473064427+08:00 at Microsoft.AspNetCore.Session.CookieProtection.Unprotect(IDataProtector protector, String protectedText, ILogger logger)

通过排查,发现了是由于 [ASP.NET Core Data Protection:https://docs.microsoft.com/en-us/aspnet/core/security/data-protection/introduction?view=aspnetcore-3.0] 机制引起的。

Data Protection 机制

对于Data Protection机制,晓东大大已经有系列文章详述了,我这里就不再过多赘述,只简单总结一下。需要了解详细的机制,建议阅读以下系列文章:

[ASP.NET Core 数据保护(Data Protection)【上】:https://www.cnblogs.com/savorboard/p/5778616.html] [ASP.NET Core 数据保护(Data Protection)【中】:https://www.cnblogs.com/savorboard/p/dotnet-core-data-protection.html] [ASP.NET Core 数据保护(Data Protection 集群场景)【下】:https://www.cnblogs.com/savorboard/p/dotnetcore-data-protected-farm.html]

Data Protection(数据安全)机制:为了确保Web应用敏感数据的安全存储,该机制提供了一个简单、基于非对称加密改进的、性能良好的、开箱即用的加密API用于数据保护。它不需要开发人员自行生成密钥,它会根据当前应用的运行环境,生成该应用独有的一个私钥。这在单一部署的情况下没有问题。一旦在集群环境下进行水平扩展,那么每个独立的应用都有一个独立的私钥。这样在负载均衡时,一个请求先在A容器建立的Session会话,该机制会通过当前容器的密钥加密Cookie写入到客户端,下个请求路由到B容器,携带的Cookie在B容器是无法通过B容器的密钥进行解密,进而会导致会话信息丢失的问题。

所以在集群情况下,为了确保加密数据的互通,应用必须共享私钥

私钥共享

这里以使用Redis来共享私钥举例,添加 Microsoft.AspNetCore.DataProtection.StackExchangeRedis Nuget包用于存储密钥。添加 Microsoft.Extensions.Caching.StackExchangeRedisNuget包用于配置分布式Session。

public IServiceProvider ConfigureServices(IServiceCollection services)

{

//获取Redis 连接字符串

var redisConnStr = this.Configuration.GetValue(SigeAppSettings.Redis_Endpoint);

var redis = ConnectionMultiplexer.Connect(redisConnStr);//建立Redis 连接

//添加数据保护服务,设置统一应用程序名称,并指定使用Reids存储私钥

services.AddDataProtection()

.SetApplicationName(Assembly.GetExecutingAssembly().FullName)

.PersistKeysToStackExchangeRedis(redis, "DataProtection-Keys");

//添加Redis缓存用于分布式Session

services.AddStackExchangeRedisCache(options =>

{

options.Configuration = redisConnStr;

options.InstanceName =Assembly.GetExecutingAssembly().FullName;

});

//添加Session

services.AddSession(options =>

{

options.Cookie.Name = Assembly.GetExecutingAssembly().FullName;

options.IdleTimeout = TimeSpan.FromMinutes(20);//设置session的过期时间

options.Cookie.HttpOnly = true;//设置在浏览器不能通过js获得该cookie的值

options.Cookie.IsEssential = true;

}

);

}

8f86bfdb0ff30a1587e5ed432fe61f16.png

wang eve
关注
ASP.NET Core 数据保护(Data Protection 集群场景)下篇
01-21
前言  接【中篇】 ,在有一些场景下,我们需要对 ASP.NET Core 的加密方法进行扩展,来适应我们的需求,这个时候就需要使用到了一些 Core 提供的高级的功能。  本文还列举了在集群场景下,有时候我们需要实现自己的一些方法来对Data Protection进行分布式配置。  加密扩展  IAuthenticatedEncryptor 和 IAuthenticatedEncryptorDescriptor  IAuthenticatedEncryptor是 Data Protection 在构建其密码加密系统中的一个基础的接口。  一般情况下一个key 对应一个IAuthent
ASP.NET Core 数据保护DataProtection
码农的专栏
11-02 2160
Web 应用程序通常需要将安全敏感数据存储。Windows 桌面应用程序提供 DPAPI,但这并不适合 web 应用程序。ASP.NET Core 数据保护堆栈提供一个简单、 易于使用的加密 API,开发人员可以使用来保护数据,包括密钥管理和旋转。 ASP.NET Core 数据保护堆栈旨在用作的长期替代<machineKey>在 ASP.NET 中的元素 1.x-4.x。它旨...
ASP.NET Core 数据保护(Data Protection)中篇
01-20
前言  上篇主要是对 ASP.NET CoreData Protection 做了一个简单的介绍,本篇主要是介绍一下API及使用方法。  API 接口  ASP.NET Core Data Protectio 主要对普通开发人员提供了两个接口,IDataProtectionProvider 和 IDataProtector。  我们先看一下这两个接口的关系: namespace Microsoft.AspNetCore.DataProtection { // // 摘要: // An interface that can provide data protection
.NetCore分布式部署中的DataProtection密钥安全性
weixin_30600503的博客
01-12 412
在.NetCore中默认使用DataProtection来保护数据,例如Cooike等。一般情况下DataProtection生成的密钥会被加密后存储,例如默认的文件存储 可以看到使用了Windows DPAPI加密。 但是如果更改默认设置例如使用的外部存储如redis则此时密钥默认是不加密的 微软说明如下 警告密钥未加密,这个时候如果redis被破解,系统的密钥也就泄漏了。 ...
Quartz.NET+TopSelf (Asp.Net Core版)实现定时服务,支持Job持久化和集群,异常重启.rar
04-24
Quartz.NET+TopSelf 实现定时服务,支持Job持久化和集群,异常重启 介绍:https://blog.csdn.net/qq_27559331/article/details/105067550 如果你觉得对你有用,麻烦你给个好评!
详解.net core下如何简单构建高可用服务集群
01-02
在这文章里你能看到在.net core下的另一种集群构建方案,通过Beetlex即可非常便捷地构建高可用的集群服务。 简述 Beetlex的Webapi集群应用并没有依赖于第三方服务,而是由Beetlex自身完成;它主要是通过Client和策略...
如何在ASP.Net Core中使用Data Protection API
cxu0262的博客
05-18 558
ASP.Net Core中的数据保护堆栈提供了一个易于使用的加密API,用于保护数据,包括必要的加密和解密机制。 本文探讨了在构建ASP.Net Core应用程序时如何使用此API。 [您应该使用哪个数据库? 让InfoWorld成为您的指南。 最好的分布式关系数据库 。 • 最好的NoSQL数据库 。 • 最好的图形数据库 。 | 通过InfoWorld大数据和分析报告时事通讯深入了解分...
在.net Core中使用StackExchange.Redis 2.0
weixin_30649641的博客
12-12 891
StackExchange.Redis 2.0做了大量的改进包括使用了高性能的IO库System.IO.Pipelines来提升性能以及解决Timeouts问题, 但是在.net Core2.2之前为实现布式缓存和session等引用了Microsoft.AspNetCore.DataProtection.Redis和Microsoft.Extensions.Caching.Redis ,这2个...
集群环境下,你不得不注意ASP.NET Core Data Protection 机制
dotNET跨平台
10-13 833
引言最近线上环境遇到一个问题,就是ASP.NET Core Web应用在单个容器使用正常,扩展多个容器无法访问的问题。查看容器日志,发现以下异常:System.Secur...
java mvc webfarm,MVC 6 WebFarm:无法解密防伪令牌
weixin_42348233的博客
02-16 322
I'm running MVC 6 (vNext) in a webfarm scenario (ARR front-end with multiple AppServers). Server affinity is off.When I bounce between app servers from one request to another I get the errorCryptogra...
如何使用ASP.NET Core Web应用程序分发数据保护密钥
weixin_26722031的博客
08-31 512
… with Redis. …和Redis。 When you configure the Data Protection in your ASP.NET Core web app, by default, it initializes with standard configurations, generally appropriate to a single machine and a si...
消除 ASP.NET Core 告警 "No XML encryptor configured. Key may be persisted to storage in unencrypted form...
weixin_33688840的博客
09-05 5704
ASP.NET Core 中如果在 DataProtection 中使用了 PersistKeysToFileSystem 或 PersistKeysToFileSystem services.AddDataProtection().PersistKeysToFileSystem(); services.AddDataProtection().PersistKeysToRedis(); 会在日...
ASP.NET Core MVC(五)发布部署
目标:MVP
04-02 725
这篇文章主要介绍在Linux服务器上部署ASP.NET Core程序,然后在其他计算机上访问。 一、Linux服务器Runtime环境 进入官方教程https://docs.microsoft.com/zh-cn/dotnet/core/install/linux-ubuntu安装。 二、发布 发布的话选择本地文件夹发布是最容易的,然后通过xftp等工具将本地程序上传至服务器。但是有一点非常重要: public class Program { public static void Main(stri
把Web Api OData移植到Asp.Net Core(3)-docker部署网站
SunnyTrudeau的博客
01-08 1112
1. 在CentOS安装docker在CentOS安装docker的方法有2大类,各种博客和官网都是这么说的。 参考docker官网: https://docs.docker.com/engine/installation/linux/docker-ce/centos/我选择简单的方法Install from a package。 首先到docker官网下载最新版本的安装包。这是CentOS系
ASP.NET CoreData Protect(数据保护)的学习和应用
anfeng4628的博客
07-18 468
转载请注入出处:https://home.cnblogs.com/u/zhiyong-ITNote/ dotnet core中提供了一个新的身份验证框架Identity,它不同于dot net下的身份验证。在这个框架里面,有一个生成token的功能,也就是我们常说的令牌,令牌的作用有哪些?Token值介绍token 值: 登录令牌.利用 token 值来判断用户的登录状态.类似于 M...
安装pywin32提示python version 3.6-32 required,which was not found in the registry解决办法,亲测可用
王俊的博客
12-03 3171
解决办法: 把注册表中的文件夹3.6重命名为3.6-32,就可以安装pywin32了 如果注册表中没有Python,执行以下代码会自动在注册表中写入路径。然后再安装pywin32即可 from __future__ import print_function import sys try: from winreg import * except ImportError...
在vue中报export ‘default‘ (imported as ‘Vue‘) was not found in ‘vue 解决办法
热门推荐
qq_45680037的博客
03-31 4万+
在vue中报export ‘default‘ (imported as ‘Vue‘) was not found in ‘vue 问题原因 今天在学习vue的过程中遇到一个这样的问题,在利用事件总线的时候出现上图的错误,经过百度,最终找到问题的原因就是版本的问题,我是安装了最新的vuecli,版本大概是4.5.4,我最开始安装vuecli没有指定版本 cli4中main.js中引用文件是下图 import {createApp} from 'vue’的格式引用的 而cli3中是用import Vue
ASP.NET 访问共享文件夹
weixin_30602505的博客
01-04 207
配置代码: var dataProtection = new Microsoft.AspNet.DataProtection.DataProtectionProvider(new DirectoryInfo(@"\\10.10.10.10\shared-auth-ticket-keys\")); app.UseCookieAuthentication((cookieOptions) => ...
DELL MD3000环境下SQL SERVER集群配置指南
"DELL MD3000环境下配置SQL SERVER集群的文档详细介绍了如何在DELL MD3000存储设备上搭建SQL SERVER集群。文档涵盖了从DELL MD3000磁阵的安装、配置,到双机集群的设置,以及SQL SERVER的安装和集群服务配置的全过程...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值