我遇到了与DataProtectionProvider相关的问题,首先我们只有2个.NET Framework项目,现在添加了一个.NET Core项目,这让我感到困惑,如何执行以下操作:生成密码重置链接来自.NET Framework项目,并在.NET Core项目中使用它。两者都使用相同的数据库和用户表,这些表已经相互兼容。 .NET Framework仍然是Code-First数据库生成的主要项目。
在两个.NET框架项目中,我使用一个共享代码库,其代码如下:
//not sure where I got this from but it is part of the solution for solving
//password link generating and using in two different applications.
public class MachineKeyProtectionProvider : IDataProtectionProvider
{
public IDataProtector Create(params string[] purposes)
{
return new MachineKeyDataProtector(purposes);
}
}
public class MachineKeyDataProtector : IDataProtector
{
private readonly string[] _purposes;
public MachineKeyDataProtector(string[] purposes)
{
_purposes = purposes;
}
public byte[] Protect(byte[] userData)
{
return MachineKey.Protect(userData, _purposes);
}
public byte[] Unprotect(byte[] protectedData)
{
return MachineKey.Unprotect(protectedData, _purposes);
}
}
然后在User Repository中:
private readonly UserManager<ApplicationUser> _userManager = null;
private readonly RoleManager<IdentityRole> _roleManager = null;
internal static IDataProtectionProvider DataProtectionProvider { get; private set; }
public UserRepository(DatabaseContext dbContext)
{
_userManager = new UserManager<ApplicationUser>(new UserStore<ApplicationUser>(dbContext));
_roleManager = new RoleManager<IdentityRole>(new RoleStore<IdentityRole>(dbContext));
_userManager.UserValidator = new UserValidator<ApplicationUser>(_userManager) { AllowOnlyAlphanumericUserNames = false };
if (DataProtectionProvider == null)
{
DataProtectionProvider = new MachineKeyProtectionProvider();
}
_userManager.UserTokenProvider = new DataProtectorTokenProvider<ApplicationUser, string>(DataProtectionProvider.Create("Identity"));
}
在两个.NET Framework项目中,我都设置了<machineKey>
。之后我可以简单地使用:
public string GeneratePasswordResetCode(string userId)
{
return _userManager.GeneratePasswordResetToken(userId);
}
public void ChangeUserPassword(string oldPassword, string newPassword)
{
string id = InfrastructureUserHelper.User.GetUserId();
IdentityResult result = _userManager.ChangePassword(id, oldPassword, newPassword);
...
}
因此,现在添加了一个.NET Core项目,该项目已经有自己的密码重置机制,但所有自动化作业都是从其中一个.NET Framework项目发送的。原因是用户应为自动创建的帐户设置密码。
我该怎么做? 我一直在看这个: https://docs.microsoft.com/en-us/aspnet/core/security/data-protection/configuration/overview?tabs=aspnetcore2x 而这:How to implement machineKey in ASP.NET Core 2.0
但我无法弄清楚简单易用解决方案是什么。我宁愿避免创建额外的redis服务器。类似于机器钥匙的东西可以完成这项工作。 我尝试从this documentation开始,但我无法弄清楚.NET Core项目中的哪个部分以及.NET Framework项目的哪个部分。
到目前为止,我一直试着玩这部分而没有运气:
public void ConfigureServices(IServiceCollection services)
{
services.AddDataProtection().SetApplicationName("Identity")
.SetDefaultKeyLifetime(TimeSpan.FromDays(60))
.ProtectKeysWithDpapi();
services.AddIdentity<ApplicationUser, ApplicationRole>().AddDefaultTokenProviders();
}
修改 我最终可以使用我们的Blob存储,看到这个页面: https://docs.microsoft.com/en-us/aspnet/core/security/data-protection/configuration/overview?tabs=aspnetcore2x
添加这似乎有点帮助,两个应用程序运行正常但仍然在.NET Framework项目中不使用正确的DataProtectionProvider。 UserManager找不到它(没有ITokenProvider错误)。
最终我放弃并将令牌存储在用户数据库中完全不理想,但花了很多时间来尝试解决一些无法记录的事情。 -1表示微软。
答案 0 :(得分:8)
Data Protection API在.NET Framework和.NET Core中的工作方式相同。
使用X509证书而不是旧的机器密钥方法加密密钥,而不是机器密钥。自生成证书很好,因为加密纯粹是供内部使用。
重要提示:如果您控制服务器,则必须在证书存储区中安装证书。使用接受X509证书实例的ProtectWithCertificate
重载是一个荒谬的,未记录的问题:它只能使用该实例来加密。如果证书不在商店中,则解密失败。微软声称这是“底层框架”的一些限制,无论这意味着什么,但可以使用变通方法(并不复杂)。我在this上使用了一个变体,并将证书序列化到Azure Key Vault,这样我们就不必触及每个服务器。
您还需要指定一个DPAPI持久性选项,以确保所有服务器都可以访问数据。由于我们使用的是Azure,因此下面的代码使用blob存储,但如果您运行自己的服务器,则可以通过PersistKeysToFileSystem
进行网络共享。
我在ConfigureServices
中的设置如下所示:
var x509 = GetDpApiCert(); // library utility
var container = GetBlobStorageRef(); // library
services.AddDataProtection()
.SetApplicationName(appconfig["DpapiSiteName"])
.ProtectKeysWithProvidedCertificate(x509)
.PersistKeysToAzureBlobStorage(container, appconfig["DpapiFileName"]);
这是我用于生成证书的Powershell脚本:
[CmdletBinding()]
param(
[Parameter(Mandatory=$true)][string]$password = "",
[Parameter(Mandatory=$true)][string]$rootDomain = ""
)
$cwd = Convert-Path .
$CerFile = "$cwd\aspnet_dpapi.cer"
$PfxFile = "$cwd\aspnet_dpapi.pfx"
# abort if files exist
if((Test-Path($PfxFile)) -or (Test-Path($CerFile)))
{
Write-Warning "Failed, aspnet_dpapi already exists in $cwd"
Exit
}
$cert = New-SelfSignedCertificate `
-Subject $rootDomain `
-DnsName $rootDomain `
-FriendlyName "ASP.NET Data Protection $rootDomain" `
-NotBefore (Get-Date) `
-NotAfter (Get-Date).AddYears(10) `
-CertStoreLocation "cert:CurrentUser\My" `
-KeyAlgorithm RSA `
-Provider "Microsoft Enhanced RSA and AES Cryptographic Provider" `
-KeyLength 2048 `
-KeyUsage KeyEncipherment, DataEncipherment
# -HashAlgorithm SHA256 `
# -Type Custom,DocumentEncryptionCert `
# -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.1")
$store = 'Cert:\CurrentUser\My\' + ($cert.ThumbPrint)
$securePass = ConvertTo-SecureString -String $password -Force -AsPlainText
Export-Certificate -Cert $store -FilePath $CerFile
Export-PfxCertificate -Cert $store -FilePath $PfxFile -Password $securePass