C#怎么使用Azure Key Vault .NET安全访问密钥教程-C#.Net教程-PHP中文网

C#怎么使用Azure Key Vault .NET安全访问密钥教程

煙雲

发布： 2025-12-17 04:29:15

原创

800人浏览过

C#中使用Azure Key Vault安全访问密钥需安装Azure.Identity和Azure.Security.KeyVault.Secrets包，配置访问策略并用DefaultAzureCredential（推荐托管身份）认证后调用SecretClient读取机密。

c#怎么使用azure key vault .net安全访问密钥教程

在C#中使用Azure Key Vault安全访问密钥，核心是通过Azure.Identity和Azure.Security.KeyVault.Secrets这两个NuGet包，配合托管身份（推荐）或服务主体完成认证，再调用客户端读取密钥、证书或机密。

安装必要NuGet包

项目中需引入以下两个基础包：

Azure.Identity：提供统一的身份验证方式（如DefaultAzureCredential）
Azure.Security.KeyVault.Secrets：用于操作Key Vault中的机密（Secret）、密钥（Key）、证书（Certificate）

可通过Package Manager Console安装：

Install-Package Azure.Identity
Install-Package Azure.Security.KeyVault.Secrets

配置Azure Key Vault访问权限

确保你的应用有权限访问Key Vault：

在Azure门户中打开目标Key Vault → “访问策略” → 添加新策略
选择主体（如系统分配的托管身份、用户、或注册的应用）
勾选“机密权限”中的Get和List（读取所需）
保存后策略可能需要几分钟生效

代码中安全读取机密（推荐托管身份）

若应用部署在Azure VM、App Service、Function等支持托管身份的服务上，直接用DefaultAzureCredential最安全（无需硬编码凭据）：

BlessAI

Bless AI 提供五个独特的功能：每日问候、庆祝问候、祝福、祷告和名言的文本生成和图片生成。

135

查看详情

using Azure.Identity;
using Azure.Security.KeyVault.Secrets;

var keyVaultUrl = "https://your-vault-name.vault.azure.net/";
var client = new SecretClient(new Uri(keyVaultUrl), new DefaultAzureCredential());

try
{
  var response = await client.GetSecretAsync("MyDatabasePassword");
  string secretValue = response.Value.Value;
  // 使用secretValue，例如连接字符串中注入
}
catch (Exception ex)
{
  // 处理权限拒绝、网络失败、机密不存在等异常

本地开发时的替代认证方式

本地调试无法用托管身份，可选用以下任一方式（按安全优先级排序）：

Azure CLI登录：运行az login后，DefaultAzureCredential会自动使用CLI凭证（需安装Azure CLI）
Visual Studio登录：在VS中用Azure账户登录（Tools → Options → Azure Service Authentication）
环境变量（仅测试）：设置AZURE_CLIENT_ID、AZURE_CLIENT_SECRET、AZURE_TENANT_ID（不建议提交到代码或Git）

注意：避免在代码中写死ClientSecret或使用用户名密码认证，这些方式已逐步弃用。

基本上就这些。关键点是：用托管身份代替密钥硬编码，用DefaultAzureCredential统一处理不同环境认证，再通过SecretClient安全获取值。整个过程不暴露凭据，符合最小权限原则。

以上就是C#怎么使用Azure Key Vault .NET安全访问密钥教程的详细内容，更多请关注php中文网其它相关文章！