MVC 6 WebFarm：无法解密防伪令牌

Question

我在 webfarm 场景（具有多个 AppServer 的 ARR 前端）中运行 MVC 6 (vNext)。服务器关联性已关闭。

当我在应用服务器之间从一个请求跳转到另一个请求时，我收到了错误

CryptographicException：在密钥环中找不到密钥 {3275ccad-973d-43ca-930f-fbac4d276640}。

InvalidOperationException：无法解密防伪令牌。

以前，我相信这是通过在 web.config 中设置静态 MachineKey 来处理的。

据我了解，我们现在已经转移到新的 DataProtection API，我尝试了以下方法，认为应用程序名称被用作某种种子：

        services.AddDataProtection();
        services.ConfigureDataProtection(configure =>
        {                
            configure.SetApplicationName("WebAppName");
        });

这并不能解决问题。

知道如何在 vNext 中解决这个问题吗？

Answer 1

说明

您需要重复使用相同的密钥。

如果您在 Azure 上，则密钥通过%HOME%\ASP.NET\DataProtection-Keys 上的 NAS 类型存储同步。

对于本地运行的应用程序，它们存储在运行应用程序的用户的%LOCALAPPDATA%\ASP.NET\DataProtection-Keys 中，如果在 IIS 中执行，则存储在注册表中。

如果以上都不匹配，则在进程的生命周期内生成密钥。

解决方案

所以第一个选项不可用（仅限 Azure）。但是，您可以在运行您的应用程序的每台机器上同步来自运行您的应用程序的用户的%LOCALAPPDATA%\ASP.NET\DataProtection-Keys 的密钥。

但更好的是，您可以将其指向这样的网络共享：

sc.ConfigureDataProtection(configure =>
{
    // persist keys to a specific directory
    configure.PersistKeysToFileSystem(new DirectoryInfo(@"Z:\temp-keys\"));
});

这将允许您在保持安全性的同时进行扩展。

重要提示：您的密钥将每 90 天过期一次。经常再生它们很重要。

您可以使用这段代码更改它，但越短越安全。

services.ConfigureDataProtection(configure =>
{
    // use 14-day lifetime instead of 90-day lifetime
    configure.SetDefaultKeyLifetime(TimeSpan.FromDays(14));
});

来源

• Key Encryption at Rest
• Default Settings