我们如何在 .net 核心控制台应用程序中存储加密的 API 密钥

Question

我正在开发一个与第 3 方 API 集成的 .NET 核心控制台应用程序。为了进行集成，我需要在 API 请求中传递 API 密钥。所以我的问题是我可以在哪里/如何将 API 密钥存储在我的控制台应用程序中？在常规 .NET 控制台应用程序中，我使用将 API 密钥存储在 app.config 中并使用 Aspnet_regiis.. 加密密钥。但不确定如何在 .NET 核心控制台应用程序中这样做？

Answer 1

你可以考虑...

• 为不同的环境获取单独的密钥（以便泄露的密钥可以过期/取消而不会影响其他环境）。

• 在操作系统提供的密钥库 [https://docs.microsoft.com/en-us/dotnet/standard/security/cryptography-model] 中存储加密的密钥（例如）。 （这只是意味着它们不会被随便的路人“闲置”。）

• 从控制台应用程序中删除用于检索密钥的代码，可能是普通开发人员无权访问的简单服务或库。 （一定程度的分离。）

• 要在应用程序中嵌入信息，请考虑资源文件 [https://docs.microsoft.com/en-us/dotnet/framework/resources/creating-resource-files-for-desktop-apps]

底线：这个问题说明了公钥（非对称）密码学 [https://en.wikipedia.org/wiki/Public-key_cryptography] 但任何处理一条“在流动中解密”的信息使该信息容易受到任何有权处理（调试）实时应用程序或在系统上使用诊断工具的人的攻击。 （如果一个人需要一把钥匙来开门，那么你必须给他们一把钥匙来开门，这样就不能防止不诚实地滥用该特权。）

有点偏执是健康的，但太多可能会成为完成工作的障碍。

Answer 2

开发中的安全性

对于本地开发，您可以使用Secrets Manager Tool（仅用于开发，从不用于生产）。此工具允许您将敏感数据本地存储在项目树之外的计算机上。

这个工具不是超级安全的，密钥也没有加密，但它提供了一种简单的方法来避免在项目配置文件中存储秘密，并且必须记住将它们添加到源代码管理忽略列表中。

生产中的安全性

一种常见的方法是将机密存储在外部保管库中。

如果您在 Azure 上托管应用程序，Azure 还提供更安全的选项：Azure Key Vault。

Key Vault 是一种用于管理机密的云托管服务，您授权的应用程序可以通过加密通道访问该服务。

Answer 3

建议不要将加密密钥存储在 .NET 控制台应用程序中。更理想的做法是将机密分开，在开发模式下使用机密管理工具存储它们，然后像​​前面提到的那样将 Azure KeyVault 等服务用于生产。

请参阅https://dev.to/dotnet/how-to-store-app-secrets-for-your-asp-net-core-project-2j5b 上有关应用机密和配置的链接以及为什么我们需要一个工具来管理它，以获取有关如何执行此操作的详细说明。