在.NET Core中使用MachineKey

姐妹篇:《ASP.NET Cookie是怎么生成的》

姐妹篇:《.NET Core验证ASP.NET密码》

在上篇文章中,我介绍了Cookie是基于MachineKey生成的,MachineKey决定了Cookie生成的算法和密钥,并如果使用多台服务器做负载均衡时,必须指定一致的MachineKey

但在.NET Core中,官方似乎并没有提供MachineKey实现,这为兼容.NET FrameworkCookie造成了许多障碍。

今天我将深入探索MachineKey这个类,看看里面到底藏了什么东西,本文的最后我将使用.NET Core来解密一个ASP.NET MVC生成的Cookie

认识MachineKey

.NET Framework中,machineKey首先需要一个配置,写在app.config或者web.config中,格式一般如下:

<machineKey validationKey="128个hex字符" decryptionKey="64个hex字符" validation="SHA1" decryption="AES" />

网上能找到可以直接生成随机MachineKey的网站:https://www.developerfusion.com/tools/generatemachinekey/

MachineKeyvalidationKeydecryptionKey的内容只要符合长度和hex要求,都是可以随意指定的,所以machineKey生成器的意义其实不大。

探索MachineKey

打开MachineKey的源代码如下所示(有删减):

public static class MachineKey {

    public static byte[] Unprotect(byte[] protectedData, params string[] purposes) {

        // ...有删减

        return Unprotect(AspNetCryptoServiceProvider.Instance, protectedData, purposes);

    }

    // Internal method for unit testing.

    internal static byte[] Unprotect(ICryptoServiceProvider cryptoServiceProvider, byte[] protectedData, string[] purposes) {

        // If the user is calling this method, we want to use the ICryptoServiceProvider

        // regardless of whether or not it's the default provider.

        Purpose derivedPurpose = Purpose.User_MachineKey_Protect.AppendSpecificPurposes(purposes);

        ICryptoService cryptoService = cryptoServiceProvider.GetCryptoService(derivedPurpose);

        return cryptoService.Unprotect(protectedData);

    }

}

具体代码可参见:https://referencesource.microsoft.com/#system.web/Security/MachineKey.cs,209

可见它本质是使用了AspNetCryptoServiceProvider.Instance,然后调用其GetCryptoService方法,然后获取一个cryptoService,最后调用Unprotect,注意其中还使用了一个Purpose的类,依赖非常多。

AspNetCryptoServiceProvider

其中AspNetCryptoServiceProvider.Instance的定义如下(有删减和整合):

internal sealed class AspNetCryptoServiceProvider : ICryptoServiceProvider {

    private static readonly Lazy<AspNetCryptoServiceProvider> _singleton = new Lazy<AspNetCryptoServiceProvider>(GetSingletonCryptoServiceProvider);

    internal static AspNetCryptoServiceProvider Instance {

        get {

            return _singleton.Value;

        }

    }

    private static AspNetCryptoServiceProvider GetSingletonCryptoServiceProvider() {

        // Provides all of the necessary dependencies for an application-level

        // AspNetCryptoServiceProvider.

        MachineKeySection machineKeySection = MachineKeySection.GetApplicationConfig();

        return new AspNetCryptoServiceProvider(

            machineKeySection: machineKeySection,

            cryptoAlgorithmFactory: new MachineKeyCryptoAlgorithmFactory(machineKeySection),

            masterKeyProvider: new MachineKeyMasterKeyProvider(machineKeySection),

            dataProtectorFactory: new MachineKeyDataProtectorFactory(machineKeySection),

            keyDerivationFunction: SP800_108.DeriveKey);

    }

}

具体代码可见:https://referencesource.microsoft.com/#system.web/Security/Cryptography/AspNetCryptoServiceProvider.cs,68dbd1c184ea4e88

可见它本质是依赖于AspNetCryptoServiceProvider,它使用了MachineKeyCryptoAlgorithmFactoryMachineKeyMasterKeyProviderMachineKeyDataProtectorFactory,以及一个看上去有点奇怪的SP800_108.DeriveKey

AspNetCryptoServiceProviderGetCryptoService方法如下:

public ICryptoService GetCryptoService(Purpose purpose, CryptoServiceOptions options = CryptoServiceOptions.None) {

    ICryptoService cryptoService;

    if (_isDataProtectorEnabled && options == CryptoServiceOptions.None) {

        // We can only use DataProtector if it's configured and the caller didn't ask for any special behavior like cacheability

        cryptoService = GetDataProtectorCryptoService(purpose);

    }

    else {

        // Otherwise we fall back to using the <machineKey> algorithms for cryptography

        cryptoService = GetNetFXCryptoService(purpose, options);

    }

    // always homogenize errors returned from the crypto service

    return new HomogenizingCryptoServiceWrapper(cryptoService);

}

private NetFXCryptoService GetNetFXCryptoService(Purpose purpose, CryptoServiceOptions options) {

    // Extract the encryption and validation keys from the provided Purpose object

    CryptographicKey encryptionKey = purpose.GetDerivedEncryptionKey(_masterKeyProvider, _keyDerivationFunction);

    CryptographicKey validationKey = purpose.GetDerivedValidationKey(_masterKeyProvider, _keyDerivationFunction);

    // and return the ICryptoService

    // (predictable IV turned on if the caller requested cacheable output)

    return new NetFXCryptoService(_cryptoAlgorithmFactory, encryptionKey, validationKey, predictableIV: (options == CryptoServiceOptions.CacheableOutput));

}

注意其中有一个判断,我结合dnSpy做了认真的调试,发现它默认走的是GetNetFXCryptoService,也就是注释中所谓的<machineKey>算法。

然后GetNetFXCryptoService方法依赖于_masterKeyProvider_keyDerivationFunction用来生成两个CryptographicKey,这两个就是之前所说的MachineKeyMasterKeyProviderMachineKeyDataProtectorFactory

注意其中还有一个HomogenizingCryptoServiceWrapper类,故名思义,它的作用应该是统一管理加密解释过程中的报错,实际也确实如此,我不作深入,有兴趣的读者可以看看原始代码在这:https://referencesource.microsoft.com/#system.web/Security/Cryptography/HomogenizingCryptoServiceWrapper.cs,25

最后调用NetFXCryptoService来执行Unprotect任务。

NetFXCryptoService

这个是重点了,源代码如下(有删减):

internal sealed class NetFXCryptoService : ICryptoService {

    private readonly ICryptoAlgorithmFactory _cryptoAlgorithmFactory;

    private readonly CryptographicKey _encryptionKey;

    private readonly bool _predictableIV;

    private readonly CryptographicKey _validationKey;

    // ...有删减

    // [UNPROTECT]

    // INPUT: protectedData

    // OUTPUT: clearData

    // ALGORITHM:

    //   1) Assume protectedData := IV || Enc(Kenc, IV, clearData) || Sign(Kval, IV || Enc(Kenc, IV, clearData))

    //   2) Validate the signature over the payload and strip it from the end

    //   3) Strip off the IV from the beginning of the payload

    //   4) Decrypt what remains of the payload, and return it as clearData

    public byte[] Unprotect(byte[] protectedData) {

        // ...有删减

        using (SymmetricAlgorithm decryptionAlgorithm = _cryptoAlgorithmFactory.GetEncryptionAlgorithm()) {

            // 省略约100行代码												


											
在.NET Core中使用MachineKey的更多相关文章
	

    
								
  1. ASP.NET Core中的数据保护
		
    在这篇文章中,我将介绍ASP.NET Core 数据保护系统:它是什么,为什么我们需要它,以及它如何工作. 为什么我们需要数据保护系统? 数据保护系统是ASP.NET Core使用的一组加密api.加 ...
    
		
    2. 
						
  2. .NET Core中的认证管理解析
		
    .NET Core中的认证管理解析 0x00 问题来源 在新建.NET Core的Web项目时选择“使用个人用户账户”就可以创建一个带有用户和权限管理的项目,已经准备好了用户注册.登录等很多页面,也可 ...
    
		
    3. 
						
  3. ASP.NET Core 中的那些认证中间件及一些重要知识点
		
    前言 在读这篇文章之间,建议先看一下我的 ASP.NET Core 之 Identity 入门系列(一,二,三)奠定一下基础. 有关于 Authentication 的知识太广,所以本篇介绍几个在 A ...
    
		
    4. 
						
  4. Asp.net Core中使用Session
		
    前言 2017年就这么悄无声息的开始了,2017年对我来说又是特别重要的一年. 元旦放假在家写了个Asp.net Core验证码登录, 做demo的过程中遇到两个小问题,第一是在Asp.net Cor ...
    
		
    5. 
						
  5. 在ASP.NET Core中使用百度在线编辑器UEditor
		
    在ASP.NET Core中使用百度在线编辑器UEditor 0x00 起因 最近需要一个在线编辑器,之前听人说过百度的UEditor不错,去官网下了一个.不过服务端只有ASP.NET版的,如果是为了 ...
    
		
    6. 
						
  6. ASP.NET Core中的依赖注入(1):控制反转(IoC)
		
    ASP.NET Core在启动以及后续针对每个请求的处理过程中的各个环节都需要相应的组件提供相应的服务,为了方便对这些组件进行定制,ASP.NET通过定义接口的方式对它们进行了"标准化&qu ...
    
		
    7. 
						
  7. ASP.NET Core中的依赖注入(2):依赖注入(DI)
		
    IoC主要体现了这样一种设计思想:通过将一组通用流程的控制从应用转移到框架之中以实现对流程的复用,同时采用"好莱坞原则"是应用程序以被动的方式实现对流程的定制.我们可以采用若干设计 ...
    
		
    8. 
						
  8. ASP.NET Core中的依赖注入(3): 服务的注册与提供
		
    在采用了依赖注入的应用中,我们总是直接利用DI容器直接获取所需的服务实例,换句话说,DI容器起到了一个服务提供者的角色,它能够根据我们提供的服务描述信息提供一个可用的服务对象.ASP.NET Core ...
    
		
    9. 
						
  9. ASP.NET Core中的依赖注入(4): 构造函数的选择与服务生命周期管理
		
    ServiceProvider最终提供的服务实例都是根据对应的ServiceDescriptor创建的,对于一个具体的ServiceDescriptor对象来说,如果它的ImplementationI ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. 小白学Java:老师!泛型我懂了!
			
    目录 小白学Java:老师!泛型我懂了! 泛型概述 定义泛型 泛型类的定义 泛型方法的定义 类型变量的限定 原生类型与向后兼容 通配泛型 非受限通配 受限通配 下限通配 泛型的擦除和限制 类型擦除 类 ...
    
			
    2. 
						
  2. 记录我的 python 学习历程-Day13 匿名函数、内置函数 II、闭包
			
    一.匿名函数 以后面试或者工作中经常用匿名函数 lambda,也叫一句话函数. 课上练习: # 正常函数: def func(a, b): return a + b print(func(4, 6)) ...
    
			
    3. 
						
  3. 一步一步教你PowerBI利用爬虫获取天气数据分析
			
    对于爬虫大家应该不会陌生,我们首先来看一下爬虫的定义:网络爬虫是一种自动获取网页内容的程序,是搜索引擎的重要组成部分.网络爬虫为搜索引擎从万维网下载网页,自动获取网页内容的应用程序.看到定义我们应该已 ...
    
			
    4. 
						
  4. Window初始化Git环境
			
    安装Git 去到官网下载地址,找到自己电脑的对应版本,下载安装就好啦,这里就不一一说明了 https://git-scm.com/download/win 初始化Git环境 第一步:打开git-bas ...
    
			
    5. 
						
  5. Activiti脚本任务(ScriptTask)
			
    Activiti脚本任务(ScriptTask) 作者:Jesai 你一直问为什么到不了远方,请停下数数你的脚步,是不是还没迈开腿 对于没有接触过groovy脚本语言的人来说,可能比较难使用 应用场景 ...
    
			
    6. 
						
  6. C# 添加、删除、读取Word形状(基于Spire.Cloud.Word.SDK)
			
    本文介绍调用Spire.Cloud.Word.SDK提供的接口shapesApi来操作Word形状,包括添加形状AddShape(),添加形状时,可设置形状类型.颜色.大小.位置.倾斜.轮廓.文本环绕 ...
    
			
    7. 
						
  7. vue需要知道哪些才能算作入门以及熟练
			
    前两天接到一个面试官问我vue什么程度才算作可以用于开发,以前从没遇到过类似问题.只能大致说了一些,事后觉得也应该总结一下,前端vue这么火热那究竟什么才算做入门什么才算做熟练,只是我个人观点,不代表 ...
    
			
    8. 
						
  8. Redis(五):hash/hset/hget 命令源码解析
			
    Redis作为nosql数据库,kv string型数据的支持是最基础的,但是如果仅有kv的操作,也不至于有redis的成功.(memcache就是个例子) Redis除了string, 还有hash ...
    
			
    9. 
						
  9. Windows 7原版映像中添加usb3.0驱动
			
    最近用软碟通制作了一个win7原版映像,但是在装新系统的时候发现了一个问题,进入安装界面后,显示没有找到驱动器,但是明明是差了U盘的,通过“shift+f12”调出命令行窗口,输入disk list命 ...
    
			
    10. 
						
  10. nuxt.js学习初探
			
    项目目标 把我个人博客的前端界面部分使用nuxt框架进行服务端渲染 nuxt介绍 nuxt可以把spa根据路由将单页面分割成多页面,比起vue的ssr渲染要更容易使用 nuxt的使用 项目创建 npx ...
    
			
    11.