如何保护 .NET Core 项目的敏感信息

在开发 .NET Core 项目时，保护敏感信息（如数据库连接字符串、API 密钥、密码等）是至关重要的。如果这些信息泄露，可能会导致严重的安全问题。本文将介绍几种常见的方法来保护 .NET Core 项目中的敏感信息。

1. 使用环境变量

环境变量是一种常见的存储敏感信息的方式。通过将敏感信息存储在环境变量中，可以避免将这些信息硬编码到代码中。

1.1 设置环境变量

在开发环境中，可以通过以下方式设置环境变量：

• Windows: 使用 setx 命令或在系统属性中设置。
• Linux/macOS: 在 ~/.bashrc 或 ~/.zshrc 文件中添加 export 命令。

例如，设置一个名为 DB_CONNECTION_STRING 的环境变量：

export DB_CONNECTION_STRING="Server=myServerAddress;Database=myDataBase;User Id=myUsername;Password=myPassword;"

1.2 在 .NET Core 中读取环境变量

在 .NET Core 项目中，可以通过 Environment.GetEnvironmentVariable 方法读取环境变量：

string dbConnectionString = Environment.GetEnvironmentVariable("DB_CONNECTION_STRING");

1.3 在 appsettings.json 中使用环境变量

可以在 appsettings.json 中使用环境变量占位符：

{
  "ConnectionStrings": {
    "DefaultConnection": "%DB_CONNECTION_STRING%"
  }
}

在代码中读取配置时，环境变量会自动替换占位符：

string dbConnectionString = Configuration.GetConnectionString("DefaultConnection");

2. 使用 Azure Key Vault

Azure Key Vault 是 Azure 提供的一项服务，用于安全地存储和管理敏感信息。通过使用 Azure Key Vault，可以将敏感信息存储在云端，并在应用程序中动态获取。

2.1 创建 Azure Key Vault

首先，在 Azure 门户中创建一个 Key Vault，并将敏感信息（如数据库连接字符串、API 密钥等）存储在 Key Vault 中。

2.2 配置 .NET Core 项目

在 .NET Core 项目中，首先需要安装 Azure.Identity 和 Azure.Extensions.AspNetCore.Configuration.Secrets NuGet 包：

dotnet add package Azure.Identity
dotnet add package Azure.Extensions.AspNetCore.Configuration.Secrets

然后，在 Program.cs 中配置 Key Vault：

using Azure.Identity;
using Azure.Extensions.AspNetCore.Configuration.Secrets;

var builder = WebApplication.CreateBuilder(args);

builder.Configuration.AddAzureKeyVault(
    new Uri("https://<your-key-vault-name>.vault.azure.net/"),
    new DefaultAzureCredential());

var app = builder.Build();

2.3 读取 Key Vault 中的配置

在代码中，可以通过 IConfiguration 接口读取 Key Vault 中的配置：

string dbConnectionString = Configuration["ConnectionStrings:DefaultConnection"];

3. 使用用户机密（User Secrets）

用户机密是 .NET Core 提供的一种在开发环境中存储敏感信息的方式。用户机密存储在本地，不会提交到版本控制系统中。

3.1 启用用户机密

在项目中启用用户机密：

dotnet user-secrets init

3.2 添加机密

使用以下命令添加机密：

dotnet user-secrets set "ConnectionStrings:DefaultConnection" "Server=myServerAddress;Database=myDataBase;User Id=myUsername;Password=myPassword;"

3.3 在代码中读取用户机密

在 Program.cs 中配置用户机密：

var builder = WebApplication.CreateBuilder(args);

if (builder.Environment.IsDevelopment())
{
    builder.Configuration.AddUserSecrets<Program>();
}

var app = builder.Build();

在代码中读取用户机密：

string dbConnectionString = Configuration.GetConnectionString("DefaultConnection");

4. 使用加密配置文件

在某些情况下，可能需要将敏感信息存储在配置文件中。为了确保这些信息的安全，可以对配置文件进行加密。

4.1 加密配置文件

可以使用 aspnet_regiis 工具对配置文件进行加密：

aspnet_regiis -pef "connectionStrings" "path\to\your\web.config"

4.2 在 .NET Core 中读取加密配置文件

在 .NET Core 中，可以通过 ConfigurationBuilder 读取加密的配置文件：

var builder = new ConfigurationBuilder()
    .SetBasePath(Directory.GetCurrentDirectory())
    .AddJsonFile("appsettings.json", optional: true, reloadOnChange: true)
    .AddEncryptedJsonFile("appsettings.encrypted.json");

var configuration = builder.Build();

5. 使用 Docker Secrets

如果项目部署在 Docker 容器中，可以使用 Docker Secrets 来管理敏感信息。

5.1 创建 Docker Secret

首先，创建一个 Docker Secret：

echo "mysecretpassword" | docker secret create db_password -

5.2 在 Docker Compose 中使用 Secret

在 docker-compose.yml 中引用 Secret：

version: '3.1'

services:
  web:
    image: myapp
    secrets:
      - db_password

secrets:
  db_password:
    file: ./db_password.txt

5.3 在 .NET Core 中读取 Docker Secret

在 .NET Core 中，可以通过环境变量读取 Docker Secret：

string dbPassword = Environment.GetEnvironmentVariable("DB_PASSWORD");

6. 总结

保护 .NET Core 项目中的敏感信息是确保应用程序安全的重要步骤。通过使用环境变量、Azure Key Vault、用户机密、加密配置文件和 Docker Secrets 等方法，可以有效地保护敏感信息，避免泄露风险。在实际开发中，应根据项目的具体需求和部署环境选择合适的方法来保护敏感信息。