Encryption Web.config部分

Question

我读到过用于加密ASP.net项目中的web.config部分的aspnet_regiis，但我对它的工作原理感到困惑，因为解密密钥必须以明文形式存在于实际服务器上的某处。

理想情况下，我希望使用AES进行加密，但这需要将aes密钥以明文形式添加到web.config中，这对我来说似乎无用。(来自https://stackoverflow.com/a/8777147)

也许我错过了什么..。有人能解释一下这个加密过程实际上是如何安全的吗？

Answer 1

如果您能够登录到计算机上的会话并访问密钥，则aspnet_regiis加密很容易解密。

这可以防止出现有人可以查看文件但无法登录计算机的情况，以及解密密钥被正确地ACL给一组已知用户的情况。

在幕后，它使用DPAPI和机器上下文特定信息。我相信你也可以使用用户配置文件进行加密，在这种情况下，其他用户无法解密它。

以下是一些有用的链接：

http://weblogs.asp.net/owscott/archive/2005/07/29/421063.aspx

http://weblogs.asp.net/scottgu/archive/2006/01/09/434893.aspx

Answer 2

您必须先创建一个密钥，然后在web.config中使用该密钥

详细的解释可以在这里找到：msdn microsoft

网络场场景下的场景是最实用的。

我认为如果你在web.config中有很多密码等，对它们进行加密是很有用的。