集羣環境下,你不得不注意的ASP.NET Core Data Protection 機制
引言
最近線上環境遇到一個問題,就是ASP.NET Core Web應用在單個容器使用正常,擴展多個容器沒法訪問的問題。查看容器日誌,發現如下異常:html
System.Security.Cryptography.CryptographicException: The key {efbb9f35-3a49-4f7f-af19-0f888fb3e04b} was not found in the key ring.
2019-09-30T18:34:55.473037193+08:00 at Microsoft.AspNetCore.DataProtection.KeyManagement.KeyRingBasedDataProtector.UnprotectCore(Byte[] protectedData, Boolean allowOperationsOnRevokedKeys, UnprotectStatus& status)
2019-09-30T18:34:55.473046762+08:00 at Microsoft.AspNetCore.DataProtection.KeyManagement.KeyRingBasedDataProtector.DangerousUnprotect(Byte[] protectedData, Boolean ignoreRevocationErrors, Boolean& requiresMigration, Boolean& wasRevoked)
2019-09-30T18:34:55.473055477+08:00 at Microsoft.AspNetCore.DataProtection.KeyManagement.KeyRingBasedDataProtector.Unprotect(Byte[] protectedData)
2019-09-30T18:34:55.473064427+08:00 at Microsoft.AspNetCore.Session.CookieProtection.Unprotect(IDataProtector protector, String protectedText, ILogger logger)
經過排查,發現了是因爲 ASP.NET Core Data Protection 機制引發的。redis
Data Protection 機制
對於Data Protection機制,曉東大大已經有系列文章詳述了,我這裏就再也不過多贅述,只簡單總結一下。須要瞭解詳細的機制,建議閱讀如下系列文章:瀏覽器
ASP.NET Core 數據保護(Data Protection)【上】
ASP.NET Core 數據保護(Data Protection)【中】
ASP.NET Core 數據保護(Data Protection 集羣場景)【下】緩存
Data Protection(數據安全)機制:爲了確保Web應用敏感數據的安全存儲,該機制提供了一個簡單、基於非對稱加密改進的、性能良好的、開箱即用的加密API用於數據保護。
它不須要開發人員自行生成密鑰,它會根據當前應用的運行環境,生成該應用獨有的一個私鑰。這在單一部署的狀況下沒有問題。
一旦在集羣環境下進行水平擴展,那麼每一個獨立的應用都有一個獨立的私鑰。這樣在負載均衡時,一個請求先在A容器創建的Session會話,該機制會經過當前容器的密鑰加密Cookie寫入到客戶端,下個請求路由到B容器,攜帶的Cookie在B容器是沒法經過B容器的密鑰進行解密。
進而會致使會話信息丟失的問題。因此在集羣狀況下,爲了確保加密數據的互通,應用必須共享私鑰。安全
私鑰共享
這裏以使用Redis來共享私鑰舉例,添加Microsoft.AspNetCore.DataProtection.StackExchangeRedis Nuget包用於存儲密鑰。
添加Microsoft.Extensions.Caching.StackExchangeRedisNuget包用於配置分佈式Session。cookie
public IServiceProvider ConfigureServices(IServiceCollection services)
{
//獲取Redis 鏈接字符串
var redisConnStr = this.Configuration.GetValue<string>(SigeAppSettings.Redis_Endpoint);
var redis = ConnectionMultiplexer.Connect(redisConnStr);//創建Redis 鏈接
//添加數據保護服務,設置統一應用程序名稱,並指定使用Reids存儲私鑰
services.AddDataProtection()
.SetApplicationName(Assembly.GetExecutingAssembly().FullName)
.PersistKeysToStackExchangeRedis(redis, "DataProtection-Keys");
//添加Redis緩存用於分佈式Session
services.AddStackExchangeRedisCache(options =>
{
options.Configuration = redisConnStr;
options.InstanceName =Assembly.GetExecutingAssembly().FullName;
});
//添加Session
services.AddSession(options =>
{
options.Cookie.Name = Assembly.GetExecutingAssembly().FullName;
options.IdleTimeout = TimeSpan.FromMinutes(20);//設置session的過時時間
options.Cookie.HttpOnly = true;//設置在瀏覽器不能經過js得到該cookie的值
options.Cookie.IsEssential = true;
}
);
}
- 1. ASP.NET Core 數據保護(Data Protection)【上】
- 2. EntityFramework Core不得不注意的性能優化意外收穫,你會用錯?
- 3. Asp.Net Core中使用Swagger,你不得不踩的坑
- 4. ASP.NET Core2.1 你不得不瞭解的GDPR(Cookie處理)
- 5. 搭建不同nacos集羣環境的一些心得
- 6. 集羣環境下開發須要注意哪些地方?
- 7. .NET Core 很酷,你不得不知!
- 8. 【Data Cluster】真機環境下MySQL數據庫集羣搭建
- 9. 注意力再不集中,誰也救不了你的考研!
- 10. 注意力再不集中,誰也救不了你的考研
- 更多相關文章...
- • XML 注意事項 - XML 教程
- • Swarm 集羣管理 - Docker教程
- • 漫談MySQL的鎖機制
- • SpringBoot中properties文件不能自動提示解決方法
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. ASP.NET Core 數據保護(Data Protection)【上】
- 2. EntityFramework Core不得不注意的性能優化意外收穫,你會用錯?
- 3. Asp.Net Core中使用Swagger,你不得不踩的坑
- 4. ASP.NET Core2.1 你不得不瞭解的GDPR(Cookie處理)
- 5. 搭建不同nacos集羣環境的一些心得
- 6. 集羣環境下開發須要注意哪些地方?
- 7. .NET Core 很酷,你不得不知!
- 8. 【Data Cluster】真機環境下MySQL數據庫集羣搭建
- 9. 注意力再不集中,誰也救不了你的考研!
- 10. 注意力再不集中,誰也救不了你的考研