轻松加密ASP.NET 2.0 Web程序配置信息

轻松加密ASP.NET 2.0 Web程序配置信息

XKER.COM 2006-10-21 10:11:00 来源:天极开发点击: 次

　一、简介

　　当创建ASP.NET 2.0应用程序时，开发者通常都把敏感的配置信息存储在Web.config文件中。最典型的示例就是数据库连接字符串，但是包括在Web.config文件中的其它敏感信息还包括SMTP服务器连接信息和用户凭证数据，等等。尽管默认情况下可以配置ASP.NET以拒绝所有对扩展名为.config的文件资源的HTTP请求；但是，如果一个黑客能够存取你的web服务器的文件系统的话，那么，Web.config中的敏感信息仍然能够被窃取。例如，也许你不小心允许匿名FTP存取你的网站，这样以来就允许一个黑客简单地通过FTP协议下载你的Web.config文件。

　　幸好，通过允许加密Web.config文件中选择的部分，例如＜connectionStrings＞节，或你的应用程序使用的一些定制config节，ASP.NET 2.0有助于缓解这个问题。配置部分能够很容易地使用编码或aspnet_regiis.exe（一个命令行程序）预以加密。一旦被加密，Web.config设置即可避开"虎视眈眈"的眼睛。而且，当以编程方式从你的ASP.NET页面中检索加密的配置设置时，ASP.NET会自动地解密它读取的加密部分。简言之，一旦配置信息被加密，你就不需要在你的应用程序中编写任何其它代码或采取任何进一步的行为来使用该加密数据。

　　在本文中，我们将讨论如何以编程方式加密和解密该配置设置部分，并且分析一下命令行程序aspnet_regiis.exe的使用。然后，我们将评估ASP.NET 2.0提供的加密选项。另外，还会简短地讨论一下如何加密ASP.NET版本1.x中的配置信息。

　　二、前提

　　在我们开始探讨如何加密ASP.NET 2.0配置信息之前，请记住下列几点：

　　1. 所有形式的加密都会包含某种秘密，而当加密和解密数据时都要使用这一秘密。对称加密算法在加密和解密一个消息时使用同一把密钥，而非对称加密算法对于加密和解密却使用不同的密钥。无论使用哪种技术，最重要的还是看解密密钥的安全保存程度。

　　2. ASP.NET 2.0提供的配置加密技术的设计目的在于，力图阻止能够以某种方式检索你的配置文件的黑客的入侵。其实现思想是，如果在黑客的计算机上有你的Web.config文件；那么，他不能破解该加密的部分。然而，当web服务器上的一个ASP.NET页面从一个加密的配置文件请求信息时，该数据必须被解密才能使用(并且这时不需要你编写任何代码)。因此，如果一个黑客能够把一个能够查询配置文件并显示它的结果的ASP.NET web页面上传到你的系统，那么，他就能够以普通文本方式观看被加密的设置。(详细情况请参考本文提供的示例ASP.NET页面，它展示了加密和解密Web.config文件中各部分的方法；如你所见，一个ASP.NET页面能够存取(并显示)该加密数据的普通文本形式)

　　3. 加密和解密配置信息需要付出一定的性能代价。因此，通常是仅加密包含敏感信息的配置部分。比如说，可能不需要加密＜compilation＞或＜authorization＞配置部分。

　　三、加密何种信息

　　在我们分析如何加密ASP.NET 2.0配置信息前，让我们首先来看一下能够加密什么配置信息。使用.NET框架2.0提供的库，开发人员能够加密在Web.config或machine.config文件中的绝大多数的配置部分。这些配置部分是一些作为＜configuration＞或＜system.web＞元素子结点的XML元素。例如，下面的示例Web.config文件中含有三个配置设置，显式地定义为：

＜connectionStrings＞，＜compilation＞和＜authentication＞。
＜?xml version="1.0"?＞
＜configuration xmlns="http://schemas.microsoft.com/.NetConfiguration/v2.0"＞
＜connectionStrings＞
　＜add name="MembershipConnectionString" connectionString="connectionString"/＞
＜/connectionStrings＞
＜system.web＞
　＜compilation debug="true"/＞
　＜authentication mode="Forms" /＞
＜/system.web＞

　　这些节中的每一个都可以有选择地被加密，或者通过编程方式或通过aspnet_regiis.exe（一个命令行工具）实现。当被加密时，加密后的文本直接存储在配置文件中。例如，如果我们要加密上面的＜connectionStrings＞节，那么结果Web.config文件可能看起来如下所示：(注意：篇幅所限，我们省略了一大块＜CipherValue＞)www.xker.com(新客网)

本新闻共3页,当前在第1页 1 2 3

上一篇教程:ASP.NET 2.0 中 Treeview 的Checkboxes 选中根枝叶全选中的实现方法
下一篇教程:没有了

【收藏本文】【我要投稿】【打印本文】【论坛讨论】【关闭窗口】

·ASP.NET 2.0 中 Treeview 的Checkboxes 选中根	·使用ASP.Net Forms模式实现WebService身份验证
·ASP.NET2.0调用MySql的存储过程	·DataGridView 的分页处理
·写个偷全国公交数据库的程序	·ASP.NET生成高质量缩略图通用函数(c#代码)
·利用正则表达式去掉html代码	·ASP.NET 2.0 中的 Theme 功能
·如何在页面之间传递数据量较大的复杂数据	·小技巧：让Apache支持ASP.NET
·ASP.NET 配置文件层次结构和继承	·ASP.NET2.0自动搜索文件组成导航系统
·在ASP.NET代码里访问跟踪信息	·跳出封装剖析ASP.NET脚本回调的原理
·字符自动截取问题	·正则学习:组的定义及引用方式

学院文章搜索