在.NET Core中使用MachineKey

姐妹篇:《ASP.NET Cookie是怎么生成的》

姐妹篇:《.NET Core验证ASP.NET密码》

在上篇文章中,我介绍了Cookie是基于MachineKey生成的,MachineKey决定了Cookie生成的算法和密钥,并如果使用多台服务器做负载均衡时,必须指定一致的MachineKey

但在.NET Core中,官方似乎并没有提供MachineKey实现,这为兼容.NET FrameworkCookie造成了许多障碍。

今天我将深入探索MachineKey这个类,看看里面到底藏了什么东西,本文的最后我将使用.NET Core来解密一个ASP.NET MVC生成的Cookie

认识MachineKey

.NET Framework中,machineKey首先需要一个配置,写在app.config或者web.config中,格式一般如下:

<machineKey validationKey="128个hex字符" decryptionKey="64个hex字符" validation="SHA1" decryption="AES" />

网上能找到可以直接生成随机MachineKey的网站:https://www.developerfusion.com/tools/generatemachinekey/

MachineKeyvalidationKeydecryptionKey的内容只要符合长度和hex要求,都是可以随意指定的,所以machineKey生成器的意义其实不大。

探索MachineKey

打开MachineKey的源代码如下所示(有删减):

public static class MachineKey {

    public static byte[] Unprotect(byte[] protectedData, params string[] purposes) {

        // ...有删减

        return Unprotect(AspNetCryptoServiceProvider.Instance, protectedData, purposes);

    }

    // Internal method for unit testing.

    internal static byte[] Unprotect(ICryptoServiceProvider cryptoServiceProvider, byte[] protectedData, string[] purposes) {

        // If the user is calling this method, we want to use the ICryptoServiceProvider

        // regardless of whether or not it's the default provider.

        Purpose derivedPurpose = Purpose.User_MachineKey_Protect.AppendSpecificPurposes(purposes);

        ICryptoService cryptoService = cryptoServiceProvider.GetCryptoService(derivedPurpose);

        return cryptoService.Unprotect(protectedData);

    }

}

具体代码可参见:https://referencesource.microsoft.com/#system.web/Security/MachineKey.cs,209

可见它本质是使用了AspNetCryptoServiceProvider.Instance,然后调用其GetCryptoService方法,然后获取一个cryptoService,最后调用Unprotect,注意其中还使用了一个Purpose的类,依赖非常多。

AspNetCryptoServiceProvider

其中AspNetCryptoServiceProvider.Instance的定义如下(有删减和整合):

internal sealed class AspNetCryptoServiceProvider : ICryptoServiceProvider {

    private static readonly Lazy<AspNetCryptoServiceProvider> _singleton = new Lazy<AspNetCryptoServiceProvider>(GetSingletonCryptoServiceProvider);

    internal static AspNetCryptoServiceProvider Instance {

        get {

            return _singleton.Value;

        }

    }

    private static AspNetCryptoServiceProvider GetSingletonCryptoServiceProvider() {

        // Provides all of the necessary dependencies for an application-level

        // AspNetCryptoServiceProvider.

        MachineKeySection machineKeySection = MachineKeySection.GetApplicationConfig();

        return new AspNetCryptoServiceProvider(

            machineKeySection: machineKeySection,

            cryptoAlgorithmFactory: new MachineKeyCryptoAlgorithmFactory(machineKeySection),

            masterKeyProvider: new MachineKeyMasterKeyProvider(machineKeySection),

            dataProtectorFactory: new MachineKeyDataProtectorFactory(machineKeySection),

            keyDerivationFunction: SP800_108.DeriveKey);

    }

}

具体代码可见:https://referencesource.microsoft.com/#system.web/Security/Cryptography/AspNetCryptoServiceProvider.cs,68dbd1c184ea4e88

可见它本质是依赖于AspNetCryptoServiceProvider,它使用了MachineKeyCryptoAlgorithmFactoryMachineKeyMasterKeyProviderMachineKeyDataProtectorFactory,以及一个看上去有点奇怪的SP800_108.DeriveKey

AspNetCryptoServiceProviderGetCryptoService方法如下:

public ICryptoService GetCryptoService(Purpose purpose, CryptoServiceOptions options = CryptoServiceOptions.None) {

    ICryptoService cryptoService;

    if (_isDataProtectorEnabled && options == CryptoServiceOptions.None) {

        // We can only use DataProtector if it's configured and the caller didn't ask for any special behavior like cacheability

        cryptoService = GetDataProtectorCryptoService(purpose);

    }

    else {

        // Otherwise we fall back to using the <machineKey> algorithms for cryptography

        cryptoService = GetNetFXCryptoService(purpose, options);

    }

    // always homogenize errors returned from the crypto service

    return new HomogenizingCryptoServiceWrapper(cryptoService);

}

private NetFXCryptoService GetNetFXCryptoService(Purpose purpose, CryptoServiceOptions options) {

    // Extract the encryption and validation keys from the provided Purpose object

    CryptographicKey encryptionKey = purpose.GetDerivedEncryptionKey(_masterKeyProvider, _keyDerivationFunction);

    CryptographicKey validationKey = purpose.GetDerivedValidationKey(_masterKeyProvider, _keyDerivationFunction);

    // and return the ICryptoService

    // (predictable IV turned on if the caller requested cacheable output)

    return new NetFXCryptoService(_cryptoAlgorithmFactory, encryptionKey, validationKey, predictableIV: (options == CryptoServiceOptions.CacheableOutput));

}

注意其中有一个判断,我结合dnSpy做了认真的调试,发现它默认走的是GetNetFXCryptoService,也就是注释中所谓的<machineKey>算法。

然后GetNetFXCryptoService方法依赖于_masterKeyProvider_keyDerivationFunction用来生成两个CryptographicKey,这两个就是之前所说的MachineKeyMasterKeyProviderMachineKeyDataProtectorFactory

注意其中还有一个HomogenizingCryptoServiceWrapper类,故名思义,它的作用应该是统一管理加密解释过程中的报错,实际也确实如此,我不作深入,有兴趣的读者可以看看原始代码在这:https://referencesource.microsoft.com/#system.web/Security/Cryptography/HomogenizingCryptoServiceWrapper.cs,25

最后调用NetFXCryptoService来执行Unprotect任务。

NetFXCryptoService

这个是重点了,源代码如下(有删减):

internal sealed class NetFXCryptoService : ICryptoService {

    private readonly ICryptoAlgorithmFactory _cryptoAlgorithmFactory;

    private readonly CryptographicKey _encryptionKey;

    private readonly bool _predictableIV;

    private readonly CryptographicKey _validationKey;

    // ...有删减

    // [UNPROTECT]

    // INPUT: protectedData

    // OUTPUT: clearData

    // ALGORITHM:

    //   1) Assume protectedData := IV || Enc(Kenc, IV, clearData) || Sign(Kval, IV || Enc(Kenc, IV, clearData))

    //   2) Validate the signature over the payload and strip it from the end

    //   3) Strip off the IV from the beginning of the payload

    //   4) Decrypt what remains of the payload, and return it as clearData

    public byte[] Unprotect(byte[] protectedData) {

        // ...有删减

        using (SymmetricAlgorithm decryptionAlgorithm = _cryptoAlgorithmFactory.GetEncryptionAlgorithm()) {

            // 省略约100行代码												


											
在.NET Core中使用MachineKey的更多相关文章
	

    
								
  1. ASP.NET Core中的数据保护
		
    在这篇文章中,我将介绍ASP.NET Core 数据保护系统:它是什么,为什么我们需要它,以及它如何工作. 为什么我们需要数据保护系统? 数据保护系统是ASP.NET Core使用的一组加密api.加 ...
    
		
    2. 
						
  2. .NET Core中的认证管理解析
		
    .NET Core中的认证管理解析 0x00 问题来源 在新建.NET Core的Web项目时选择“使用个人用户账户”就可以创建一个带有用户和权限管理的项目,已经准备好了用户注册.登录等很多页面,也可 ...
    
		
    3. 
						
  3. ASP.NET Core 中的那些认证中间件及一些重要知识点
		
    前言 在读这篇文章之间,建议先看一下我的 ASP.NET Core 之 Identity 入门系列(一,二,三)奠定一下基础. 有关于 Authentication 的知识太广,所以本篇介绍几个在 A ...
    
		
    4. 
						
  4. Asp.net Core中使用Session
		
    前言 2017年就这么悄无声息的开始了,2017年对我来说又是特别重要的一年. 元旦放假在家写了个Asp.net Core验证码登录, 做demo的过程中遇到两个小问题,第一是在Asp.net Cor ...
    
		
    5. 
						
  5. 在ASP.NET Core中使用百度在线编辑器UEditor
		
    在ASP.NET Core中使用百度在线编辑器UEditor 0x00 起因 最近需要一个在线编辑器,之前听人说过百度的UEditor不错,去官网下了一个.不过服务端只有ASP.NET版的,如果是为了 ...
    
		
    6. 
						
  6. ASP.NET Core中的依赖注入(1):控制反转(IoC)
		
    ASP.NET Core在启动以及后续针对每个请求的处理过程中的各个环节都需要相应的组件提供相应的服务,为了方便对这些组件进行定制,ASP.NET通过定义接口的方式对它们进行了"标准化&qu ...
    
		
    7. 
						
  7. ASP.NET Core中的依赖注入(2):依赖注入(DI)
		
    IoC主要体现了这样一种设计思想:通过将一组通用流程的控制从应用转移到框架之中以实现对流程的复用,同时采用"好莱坞原则"是应用程序以被动的方式实现对流程的定制.我们可以采用若干设计 ...
    
		
    8. 
						
  8. ASP.NET Core中的依赖注入(3): 服务的注册与提供
		
    在采用了依赖注入的应用中,我们总是直接利用DI容器直接获取所需的服务实例,换句话说,DI容器起到了一个服务提供者的角色,它能够根据我们提供的服务描述信息提供一个可用的服务对象.ASP.NET Core ...
    
		
    9. 
						
  9. ASP.NET Core中的依赖注入(4): 构造函数的选择与服务生命周期管理
		
    ServiceProvider最终提供的服务实例都是根据对应的ServiceDescriptor创建的,对于一个具体的ServiceDescriptor对象来说,如果它的ImplementationI ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. Centos7下创建和管理用户
			
    centos服务管理主要命令是systemctl,centos7的服务不再放在/etc/init.d/下;而放在/usr/lib/systemd/system下,centos7系统中systemctl ...
    
			
    2. 
						
  2. acmPush模块示例demo
			
    感谢论坛版主 马浩川 的分享. 模块介绍:  阿里移动推送(Alibaba Cloud Mobile Push)是基于大数据的移动智能推送服务,帮助App快速集成移动推送的功能,在实现高效.精确.实时 ...
    
			
    3. 
						
  3. python+opencv中最近出现的一些变化( OpenCV 官方的 Python tutorial目前好像还没有改过来?)  记一次全景图像的拼接
			
    最近在学习过程中发现opencv有了很多变动, OpenCV 官方的 Python tutorial目前好像还没有改过来,导致大家在学习上面都出现了一些问题,现在做一个小小的罗列,希望对大家有用 做的 ...
    
			
    4. 
						
  4. kindeditor富文本编译器
			
    一.网址 kindeditor.net/about.php 二.编辑器的使用,看官方文档 三.常用初始化参数 1.resizeType2或1或0,2时可以拖动改变宽度和高度,1时只能改变高度,0时不能 ...
    
			
    5. 
						
  5. Mysql 8+ 版本完全踩坑记录
			
    问题是这样 刚霍霍了一台腾讯云服务器需要安装mysql 然后就选择了8+这个版本. 安装步骤网上有的是. 我只写最主要的部分 绝对不出错 外网可访问 .net java都可以调用 其实不指望有人看 就 ...
    
			
    6. 
						
  6. 第二阶段冲刺个人任务——three
			
    今日任务: 优化统计个人博客结果页面的显示. 昨日成果: 优化作业查询结果,按学号排列.
    
			
    7. 
						
  7. linux操作系统运行学习总结
			
    https://www.cnblogs.com/f-ck-need-u/p/10481466.html 操作系统学习总结 1.linux上面cpu通过上下文切换达到进程的不断切换,通过动态计算切换执行 ...
    
			
    8. 
						
  8. 20191217HNOI 模拟赛 复活石
			
    题目描述: 分析: 我也不知道我在干sm,但就是没写出来2333 枚举 i 的每个质因子 j ,复杂度为n^(3/2) 为什么我会认为是n^2啊2333 然后考虑 f ( j )对g ( i )做了多 ...
    
			
    9. 
						
  9. 《HelloGitHub》第 46 期
			
    兴趣是最好的老师,HelloGitHub 就是帮你找到兴趣! 简介 分享 GitHub 上有趣.入门级的开源项目. 这是一个面向编程新手.热爱编程.对开源社区感兴趣 人群的月刊,月刊的内容包括:各种编 ...
    
			
    10. 
						
  10. HTML中CSS引用——选择器的使用
			
    一.元素选择器     1.书写格式:标记名{/*生命块*/}     2.所有与该标记匹配的元素,都将应用声明块中的规则 二.类选择器     1.书写格式:.类名{/*声明块*/}         ...
    
			
    11.