我的情况是我想让数据受到保护,即使是那些有权访问后端(密钥存储区)的人,所以如果没有用户的话,他们就无法读取数据(由我的客户端应用程序代表)案例浏览器)协助。
一种选择是将解密密钥存储在客户端上并随每个请求传递,这对我来说听起来很麻烦,我不确定我是否希望我的密钥像这样在网上闲逛。我想象的是,客户端会保留一些令牌(可能是用户知道的密码),如果没有它,解密就不会发生。
我考虑过使用目的字符串,我觉得这不是一个好主意,因为它的主要目的是隔离。另一方面,它是用于子密钥推导的附加认证数据的一部分。 (基于这篇文章https://docs.microsoft.com/en-us/aspnet/core/security/data-protection/implementation/subkeyderivation?view=aspnetcore-2.1#additional-authenticated-data-and-subkey-derivation)。
我遇到了一些使用较低级别类创建自己的对称加密的示例。 (就像这篇文章Encrypt and decrypt a string in C#?)。由于我不是这方面的专家,我想尽可能多地使用类。
使用Data Protection API中的类实现所需的建议方法是什么? (我在Ubuntu上使用.net核心1.1)