Azure密钥库和数据保护API的区别？

Question

我部署了Asp.Net核心web应用程序，我需要为我的客户端的私钥构建一个存储空间(这是很多价值)。我应该使用什么: Azure密钥库还是数据保护API？第二种方式似乎更容易编程，然而，有来自docs的信息：

ASP.NET核心数据保护API并不主要用于机密有效载荷的无限期持久化。

但我需要长期保存钥匙。

Answer 1

如果您使用密钥来保护数据的长期存储，我建议您使用Azure密钥库。

Azure密钥库是一种高可用性服务，旨在存储秘密和密钥。密钥和秘密会自动复制到多个区域的密钥库实例中，并且可以使用PowerShell cmdlet安全地备份。如果您正在处理高度敏感的数据，可以将它们存储在HSM中。

数据保护API更适合于保护本地或短期数据。

Answer 2

你应该用Azure钥匙库来存储你的钥匙。数据保护API总是在应用程序中使用，例如，它用于加密和保护会话cookie。

但是，不要忘记，您也需要在一个安全的地方配置和存储数据保护密钥。如果你做得不好，那么当你重新部署的时候，用户可能会被踢出你的网站。

有关详细信息，请参阅本文档：

• ASP.NET核心中的密钥存储提供者

如果您确实希望将数据保护密钥环存储在AKZ中，请在这里查看我的实现：

• 在Azure密钥库中存储ASP.NET核心数据保护密钥环