Question

我一直在查看ASP.NET MVC应用程序（.NET 4.0）中加密connectionStrings（Web.config）的几个示例，似乎有两种通用的方法来实现它（example 1和相关的example 2）：

使用aspnet_regiis工具。

使用aspnet_regiis的主要问题是我可以在本地（在我的开发机器上）运行该工具，但该网站实际上托管在Arvixe上，就像任何其他Web主机一样：无法在服务器上运行命令。据我所知，如果我在我的机器上加密Web.config connectionStrings并发布Web.config，那么它们就无法在服务器上解密（如果这是错误的，请纠正我。）

注意：我只使用RSAProtectedConfigurationProvider，但我认为DataProtectionConfigurationProvider会有同样的问题，因为它是用户/机器特定的。

以编程方式加密连接字符串。

以编程方式加密connectionStrings也有一个缺点：每次我发布我的网站时都会更新Web.config（使用未加密的connectionStrings），这意味着在一段时间内Web.config将不会被加密。即使我确保仅在发生更改时发布Web.config，问题可能会最小化但不会减轻。

我认为使用静态类可能会进一步帮助减少connectionStrings未加密的时间。不幸的是，加密connectionStrings需要应用程序路径，似乎获取应用程序路径的唯一方法是来自请求（Request.ApplicationPath），而在静态类中（显然）没有请求。

private void ProtectSection(string sectionName,
                                   string provider)
{
    Configuration config =
        WebConfigurationManager.
            OpenWebConfiguration(Request.ApplicationPath);

    ConfigurationSection section =
                 config.GetSection(sectionName);

    if (section != null &&
              !section.SectionInformation.IsProtected)
    {
        section.SectionInformation.ProtectSection(provider);
        config.Save();
    }
}

private void UnProtectSection(string sectionName)
{
    Configuration config =
        WebConfigurationManager.
            OpenWebConfiguration(Request.ApplicationPath);

    ConfigurationSection section =
              config.GetSection(sectionName);

    if (section != null &&
          section.SectionInformation.IsProtected)
    {
        section.SectionInformation.UnprotectSection();
        config.Save();
    }
}

UnProtectSection("appSettings");

ProtectSection("appSettings",
    "DataProtectionConfigurationProvider");

加密connectionString以及消除/减少Web.config部分未加密的时间的正确方法是什么？您是否在OpenWebConfiguration方法周围编写了某种类型的包装器，以检查该部分是否已加密且仅使用该包装器？用户可以访问您网站上的任何页面，那么如何在数据库中请求某些数据之前延迟加密，或者您是否在第一时间检查它是否已加密？

Answer 1

共享主机的最简单方法可能是编写自己的加密/解密实用程序，并将连接字符串存储在应用程序设置，自定义XML文件或文本文件中，以便您可以完全控制加密/解密过程......

根据您的更新，您可以通过以下方式获取当前请求：

new HttpRequestWrapper(System.Web.HttpContext.Current.Request);

HTH。

Answer 2

我想出了一个自己的解决方案，但我希望有更好的方法来做到这一点：

internal static class SecurityExtension
{
    public static string GetConnetionString(this Configuration config, string databaseName, string provider = "RSAProtectedConfigurationProvider")
    {
        string sectionName = "connectionStrings";
        ConfigurationSection section = config.GetSection(sectionName);
        if (section != null && !section.SectionInformation.IsProtected)
        {
            section.SectionInformation.ProtectSection(provider);
            config.Save();
        }

        return WebConfigurationManager.ConnectionStrings[databaseName].ConnectionString;
    }
}

现在我只需要在每次获取配置字符串时都使用扩展名：

Configuration config = WebConfigurationManager.OpenWebConfiguration(Request.ApplicationPath);
string connectionString = config.GetConnetionString("MyDatabaseName");

<强>更新
感谢Brian，我们可以静态获取连接字符串：

private static HttpRequestWrapper request = new HttpRequestWrapper(System.Web.HttpContext.Current.Request);
private static Configuration config = WebConfigurationManager.OpenWebConfiguration(request.ApplicationPath);
private static string connectionString = config.GetConnetionString("MyDatabaseName"));

当然，您不希望存储类似的连接字符串，而只是使用它来初始化DataContext或将其用于您需要的任何其他内容。

Answer 3

从Web.config文件

获取ConnectionString

在开始如何从web.config文件中读取或获取connectionstring之前，你应该知道如何从这里获取连接数据库的连接字符串，这也将告诉你为什么我没有在我的用户ID和密码中使用连接字符串。知道这一点后，您可以在web.config中调整连接字符串，如下所示。

<connectionStrings>
   <add name="myDbConnection" providerName="System.Data.SqlClient"
   connectionString="Data Source=myServer;Integrated Security=true;Initial Catalog=myDatabase"/>
</connectionStrings>

要从asp.net中的web.config文件中读取或获取connectionstring，我们需要添加System.Configuration命名空间，以帮助我们读取连接字符串。

注意：如果您已在appSettings部分下定义了连接字符串，则可以通过这种方式从appSettings部分获取您的连接字符串。在C＃中读取Connectionstring

protected void Page_Load(object sender, EventArgs e)
{
       string con = System.Configuration.ConfigurationManager.ConnectionStrings["myDbConnection"].ConnectionString;
}

在Vb.net中读取Connectionstring

Protected Sub Page_Load(ByVal sender As Object, ByVal e As System.EventArgs) Handles Me.Load
       Dim con As String = System.Configuration.ConfigurationManager.ConnectionStrings("myDbConnection").ConnectionString
End Sub

示例：Asp.net中的简单插入，更新和删除您可能也喜欢在asp.net gridview上插入，更新和删除。就是这样，现在你可以从web.config文件中获取连接字符串，并且可以在任何你想要的地方使用。

您可以通过http://www.aspneto.com/category/aspnet/

在asp.net上阅读更多内容

加密ASP.NET连接字符串的正确方法是什么？

3 个答案: