ASP.NET Core中的数据保护是什么？如何配置？-C#.Net教程-PHP中文网

ASP.NET Core中的数据保护是什么？如何配置？

煙雲

发布： 2025-09-02 08:13:01

原创

927人浏览过

ASP.NET Core数据保护通过AddDataProtection()配置，支持文件系统、Azure Key Vault、Redis和EF Core等多种密钥存储方式，确保多实例间加密解密一致性，适用于不同部署环境的安全需求。

asp.net core中的数据保护是什么？如何配置？

ASP.NET Core中的数据保护，说白了，就是框架提供的一套用于保护敏感数据的API和机制。它能帮你把那些需要加密存储的数据（比如认证Cookie、CSRF令牌，或者你应用里任何需要保密的字符串）安全地加密、解密，并且还帮你管理这些加密密钥。这玩意儿省去了我们自己去折腾复杂的密码学细节，让开发者能更专注于业务逻辑，同时又确保了数据的安全。

配置ASP.NET Core的数据保护，通常从

Program.cs

登录后复制

（或者旧版项目的

Startup.cs

登录后复制

）开始。最基础的用法，你只需要调用

AddDataProtection()

登录后复制

方法就行了。

// Program.cs
var builder = WebApplication.CreateBuilder(args);

// 添加数据保护服务
builder.Services.AddDataProtection();

// ... 其他服务注册

var app = builder.Build();

// ... 其他中间件配置

app.Run();

登录后复制

这样做了之后，ASP.NET Core会默认把加密密钥存储在文件系统里。具体位置嘛，通常是你的用户配置文件目录（比如

C:Users{username}AppDataLocalASP.NETDataProtection-Keys

登录后复制

on Windows，或者

~/.aspnet/DataProtection-Keys

登录后复制

on Linux/macOS）。但这种默认行为，对于单机开发环境还行，一旦你的应用需要部署到多台服务器、负载均衡环境，或者容器化环境（比如Kubernetes），那问题就来了——每台服务器都有自己独立的密钥，它们之间无法共享，导致数据无法互通，比如用户在一个实例上登录，跳转到另一个实例就掉线了。

阿里云-虚拟数字人

阿里云-虚拟数字人是什么？ ...

查看详情

所以，更实际的配置是指定一个共享的密钥存储位置。这里有几个常见的选择：

1. 使用文件系统共享路径 (适用于简单的多实例，但仍有安全考量): 如果你在同一个网络共享存储上运行多个实例，可以指定一个共享文件夹。

builder.Services.AddDataProtection()
    .PersistKeysToFileSystem(new DirectoryInfo(@"\servershareDataProtectionKeys"));
    // 确保这个目录对IIS进程或容器有读写权限

登录后复制

2. 存储到Azure Key Vault (云原生首选，高度安全): 这是在Azure上部署应用时最推荐的方式。Key Vault不仅能存储密钥，还能管理密钥的生命周期，提供硬件安全模块（HSM）保护。

// 需要安装 NuGet 包：Microsoft.AspNetCore.DataProtection.AzureKeyVault
// 和 Azure.Extensions.AspNetCore.DataProtection.Keys
// 以及 Azure.Identity (用于身份验证)

using Azure.Identity;
using Azure.Security.KeyVault.Keys;
using Azure.Extensions.AspNetCore.DataProtection.Keys;

// ...

var keyVaultUri = new Uri(builder.Configuration["KeyVault:Uri"]); // 从配置中获取Key Vault URI
var client = new KeyClient(keyVaultUri, new DefaultAzureCredential());

builder.Services.AddDataProtection()
    .PersistKeysToAzureKeyVault(client, "my-app-data-protection-key"); // "my-app-data-protection-key" 是Key Vault中的一个Key名称
    // 或者你可以让它自动生成和管理密钥：
    // .PersistKeysToAzureKeyVault(client);

登录后复制

这里

DefaultAzureCredential

登录后复制

会尝试多种身份验证方式，比如环境变量、Managed Identity等，非常方便。

3. 存储到Redis (分布式缓存，容器化环境常见): 对于容器化部署，或者需要高性能、分布式共享密钥的场景，Redis是个不错的选择。

// 需要安装 NuGet 包：Microsoft.AspNetCore.DataProtection.StackExchangeRedis

using StackExchange.Redis;

// ...

var redisConnection = ConnectionMultiplexer.Connect(builder.Configuration["Redis:ConnectionString"]);

builder.Services.AddDataProtection()
    .PersistKeysToStackExchangeRedis(redisConnection, "DataProtection-Keys"); // "DataProtection-Keys" 是Redis中的一个键前缀

登录后复制

4. 存储到Entity Framework Core (数据库存储): 如果你已经在使用EF Core，并且想把密钥也存到数据库里，这也是个

以上就是ASP.NET Core中的数据保护是什么？如何配置？的详细内容，更多请关注php中文网其它相关文章！