在.NET Core中使用MachineKey

姐妹篇:《ASP.NET Cookie是怎么生成的》

姐妹篇:《.NET Core验证ASP.NET密码》

在上篇文章中,我介绍了Cookie是基于MachineKey生成的,MachineKey决定了Cookie生成的算法和密钥,并如果使用多台服务器做负载均衡时,必须指定一致的MachineKey

但在.NET Core中,官方似乎并没有提供MachineKey实现,这为兼容.NET FrameworkCookie造成了许多障碍。

今天我将深入探索MachineKey这个类,看看里面到底藏了什么东西,本文的最后我将使用.NET Core来解密一个ASP.NET MVC生成的Cookie

认识MachineKey

.NET Framework中,machineKey首先需要一个配置,写在app.config或者web.config中,格式一般如下:

<machineKey validationKey="128个hex字符" decryptionKey="64个hex字符" validation="SHA1" decryption="AES" />

网上能找到可以直接生成随机MachineKey的网站:https://www.developerfusion.com/tools/generatemachinekey/

MachineKeyvalidationKeydecryptionKey的内容只要符合长度和hex要求,都是可以随意指定的,所以machineKey生成器的意义其实不大。

探索MachineKey

打开MachineKey的源代码如下所示(有删减):

public static class MachineKey {

    public static byte[] Unprotect(byte[] protectedData, params string[] purposes) {

        // ...有删减

        return Unprotect(AspNetCryptoServiceProvider.Instance, protectedData, purposes);

    }

    // Internal method for unit testing.

    internal static byte[] Unprotect(ICryptoServiceProvider cryptoServiceProvider, byte[] protectedData, string[] purposes) {

        // If the user is calling this method, we want to use the ICryptoServiceProvider

        // regardless of whether or not it's the default provider.

        Purpose derivedPurpose = Purpose.User_MachineKey_Protect.AppendSpecificPurposes(purposes);

        ICryptoService cryptoService = cryptoServiceProvider.GetCryptoService(derivedPurpose);

        return cryptoService.Unprotect(protectedData);

    }

}

具体代码可参见:https://referencesource.microsoft.com/#system.web/Security/MachineKey.cs,209

可见它本质是使用了AspNetCryptoServiceProvider.Instance,然后调用其GetCryptoService方法,然后获取一个cryptoService,最后调用Unprotect,注意其中还使用了一个Purpose的类,依赖非常多。

AspNetCryptoServiceProvider

其中AspNetCryptoServiceProvider.Instance的定义如下(有删减和整合):

internal sealed class AspNetCryptoServiceProvider : ICryptoServiceProvider {

    private static readonly Lazy<AspNetCryptoServiceProvider> _singleton = new Lazy<AspNetCryptoServiceProvider>(GetSingletonCryptoServiceProvider);

    internal static AspNetCryptoServiceProvider Instance {

        get {

            return _singleton.Value;

        }

    }

    private static AspNetCryptoServiceProvider GetSingletonCryptoServiceProvider() {

        // Provides all of the necessary dependencies for an application-level

        // AspNetCryptoServiceProvider.

        MachineKeySection machineKeySection = MachineKeySection.GetApplicationConfig();

        return new AspNetCryptoServiceProvider(

            machineKeySection: machineKeySection,

            cryptoAlgorithmFactory: new MachineKeyCryptoAlgorithmFactory(machineKeySection),

            masterKeyProvider: new MachineKeyMasterKeyProvider(machineKeySection),

            dataProtectorFactory: new MachineKeyDataProtectorFactory(machineKeySection),

            keyDerivationFunction: SP800_108.DeriveKey);

    }

}

具体代码可见:https://referencesource.microsoft.com/#system.web/Security/Cryptography/AspNetCryptoServiceProvider.cs,68dbd1c184ea4e88

可见它本质是依赖于AspNetCryptoServiceProvider,它使用了MachineKeyCryptoAlgorithmFactoryMachineKeyMasterKeyProviderMachineKeyDataProtectorFactory,以及一个看上去有点奇怪的SP800_108.DeriveKey

AspNetCryptoServiceProviderGetCryptoService方法如下:

public ICryptoService GetCryptoService(Purpose purpose, CryptoServiceOptions options = CryptoServiceOptions.None) {

    ICryptoService cryptoService;

    if (_isDataProtectorEnabled && options == CryptoServiceOptions.None) {

        // We can only use DataProtector if it's configured and the caller didn't ask for any special behavior like cacheability

        cryptoService = GetDataProtectorCryptoService(purpose);

    }

    else {

        // Otherwise we fall back to using the <machineKey> algorithms for cryptography

        cryptoService = GetNetFXCryptoService(purpose, options);

    }

    // always homogenize errors returned from the crypto service

    return new HomogenizingCryptoServiceWrapper(cryptoService);

}

private NetFXCryptoService GetNetFXCryptoService(Purpose purpose, CryptoServiceOptions options) {

    // Extract the encryption and validation keys from the provided Purpose object

    CryptographicKey encryptionKey = purpose.GetDerivedEncryptionKey(_masterKeyProvider, _keyDerivationFunction);

    CryptographicKey validationKey = purpose.GetDerivedValidationKey(_masterKeyProvider, _keyDerivationFunction);

    // and return the ICryptoService

    // (predictable IV turned on if the caller requested cacheable output)

    return new NetFXCryptoService(_cryptoAlgorithmFactory, encryptionKey, validationKey, predictableIV: (options == CryptoServiceOptions.CacheableOutput));

}

注意其中有一个判断,我结合dnSpy做了认真的调试,发现它默认走的是GetNetFXCryptoService,也就是注释中所谓的<machineKey>算法。

然后GetNetFXCryptoService方法依赖于_masterKeyProvider_keyDerivationFunction用来生成两个CryptographicKey,这两个就是之前所说的MachineKeyMasterKeyProviderMachineKeyDataProtectorFactory

注意其中还有一个HomogenizingCryptoServiceWrapper类,故名思义,它的作用应该是统一管理加密解释过程中的报错,实际也确实如此,我不作深入,有兴趣的读者可以看看原始代码在这:https://referencesource.microsoft.com/#system.web/Security/Cryptography/HomogenizingCryptoServiceWrapper.cs,25

最后调用NetFXCryptoService来执行Unprotect任务。

NetFXCryptoService

这个是重点了,源代码如下(有删减):

internal sealed class NetFXCryptoService : ICryptoService {

    private readonly ICryptoAlgorithmFactory _cryptoAlgorithmFactory;

    private readonly CryptographicKey _encryptionKey;

    private readonly bool _predictableIV;

    private readonly CryptographicKey _validationKey;

    // ...有删减

    // [UNPROTECT]

    // INPUT: protectedData

    // OUTPUT: clearData

    // ALGORITHM:

    //   1) Assume protectedData := IV || Enc(Kenc, IV, clearData) || Sign(Kval, IV || Enc(Kenc, IV, clearData))

    //   2) Validate the signature over the payload and strip it from the end

    //   3) Strip off the IV from the beginning of the payload

    //   4) Decrypt what remains of the payload, and return it as clearData

    public byte[] Unprotect(byte[] protectedData) {

        // ...有删减

        using (SymmetricAlgorithm decryptionAlgorithm = _cryptoAlgorithmFactory.GetEncryptionAlgorithm()) {

            // 省略约100行代码												


											
在.NET Core中使用MachineKey的更多相关文章
	

    
								
  1. ASP.NET Core中的数据保护
		
    在这篇文章中,我将介绍ASP.NET Core 数据保护系统:它是什么,为什么我们需要它,以及它如何工作. 为什么我们需要数据保护系统? 数据保护系统是ASP.NET Core使用的一组加密api.加 ...
    
		
    2. 
						
  2. .NET Core中的认证管理解析
		
    .NET Core中的认证管理解析 0x00 问题来源 在新建.NET Core的Web项目时选择“使用个人用户账户”就可以创建一个带有用户和权限管理的项目,已经准备好了用户注册.登录等很多页面,也可 ...
    
		
    3. 
						
  3. ASP.NET Core 中的那些认证中间件及一些重要知识点
		
    前言 在读这篇文章之间,建议先看一下我的 ASP.NET Core 之 Identity 入门系列(一,二,三)奠定一下基础. 有关于 Authentication 的知识太广,所以本篇介绍几个在 A ...
    
		
    4. 
						
  4. Asp.net Core中使用Session
		
    前言 2017年就这么悄无声息的开始了,2017年对我来说又是特别重要的一年. 元旦放假在家写了个Asp.net Core验证码登录, 做demo的过程中遇到两个小问题,第一是在Asp.net Cor ...
    
		
    5. 
						
  5. 在ASP.NET Core中使用百度在线编辑器UEditor
		
    在ASP.NET Core中使用百度在线编辑器UEditor 0x00 起因 最近需要一个在线编辑器,之前听人说过百度的UEditor不错,去官网下了一个.不过服务端只有ASP.NET版的,如果是为了 ...
    
		
    6. 
						
  6. ASP.NET Core中的依赖注入(1):控制反转(IoC)
		
    ASP.NET Core在启动以及后续针对每个请求的处理过程中的各个环节都需要相应的组件提供相应的服务,为了方便对这些组件进行定制,ASP.NET通过定义接口的方式对它们进行了"标准化&qu ...
    
		
    7. 
						
  7. ASP.NET Core中的依赖注入(2):依赖注入(DI)
		
    IoC主要体现了这样一种设计思想:通过将一组通用流程的控制从应用转移到框架之中以实现对流程的复用,同时采用"好莱坞原则"是应用程序以被动的方式实现对流程的定制.我们可以采用若干设计 ...
    
		
    8. 
						
  8. ASP.NET Core中的依赖注入(3): 服务的注册与提供
		
    在采用了依赖注入的应用中,我们总是直接利用DI容器直接获取所需的服务实例,换句话说,DI容器起到了一个服务提供者的角色,它能够根据我们提供的服务描述信息提供一个可用的服务对象.ASP.NET Core ...
    
		
    9. 
						
  9. ASP.NET Core中的依赖注入(4): 构造函数的选择与服务生命周期管理
		
    ServiceProvider最终提供的服务实例都是根据对应的ServiceDescriptor创建的,对于一个具体的ServiceDescriptor对象来说,如果它的ImplementationI ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. cogs 619. [金陵中学2007] 传话 Tarjan强连通分量
			
    619. [金陵中学2007] 传话 ★★   输入文件:messagez.in   输出文件:messagez.out   简单对比时间限制:1 s   内存限制:128 MB [问题描述] 兴趣小 ...
    
			
    2. 
						
  2. C#反射与特性(八):反射操作的示例大全
			
    目录 1,InvokeMember 1.1 InvokeMember 参数 1.2 实践使用 InvokeMember 和成员的重载方法 微信平台,此文仅授权<NCC 开源社区>订阅号发布 ...
    
			
    3. 
						
  3. C# 自动批量搜索指定关键字,没有注册的域名
			
    做好网站了,部署上线.想注册域名,但是想了很多要注册的,都被别人注册了.例如已经做好了体育资讯的网站,想要包含关键字sport的域名,就可以用这个工具自动完成搜索. 效果如下图: 演示程序结构 在vs ...
    
			
    4. 
						
  4. linux操作系统运行学习总结
			
    https://www.cnblogs.com/f-ck-need-u/p/10481466.html 操作系统学习总结 1.linux上面cpu通过上下文切换达到进程的不断切换,通过动态计算切换执行 ...
    
			
    5. 
						
  5. 记录 解决ubuntu16.04 ‘E: 无法获得锁 /var/lib/dpkg/lock-frontend - open (11: 资源暂时不可用) ’
			
    当运行sudo apt-get install/update/其他命令时,会出现如下提示: E: 无法获得锁 /var/lib/dpkg/lock-frontend - open (11: 资源暂时不 ...
    
			
    6. 
						
  6. GP工作室—团队项目总结
			
    GP工作室-团队项目总结 这个作业属于哪个课程 https://edu.cnblogs.com/campus/xnsy/GeographicInformationScience/ 这个作业要求在哪里  ...
    
			
    7. 
						
  7. 《前端之路》--- 重温 Koa2
			
    目录 一.简单介绍 二. 路由 三.请求数据 四. 静态资源加载 五. 静态资源加载 六. koa2加载模板引擎 七. koa2 中简单使用 mysql 数据库 八. koa2 中使用单元检测 九.  ...
    
			
    8. 
						
  8. NVIDIA DRIVE
			
      NVIDIA 驱动安装(超详细) ref1: https://blog.csdn.net/qlulibin/article/details/78714596 ref2:https://www.cn ...
    
			
    9. 
						
  9. ubuntu “快捷方式”
			
    1.创建.Desktop文件 sudo gedit /usr/share/applications/pycharm.desktop 2.建立pycharm.desktop [Desktop Entry ...
    
			
    10. 
						
  10. 画布 canvas 的相关内容
			
    1.什么是canvas canvas也被叫做画布,是在JavaScript中完成网页图像制作的一个重要的途径,画布是一个矩形区域,在这个矩形区域中你可以利用好这里的每一个像素.同样在canvas中也有 ...
    
			
    11.