集群环境下，你不得不注意的ASP.NET Core Data Protection 机制

时间 2019-11-05

标签集群环境不得不注意 asp.net asp core data protection 机制栏目负载均衡繁體版

原文原文链接

引言

最近线上环境遇到一个问题，就是ASP.NET Core Web应用在单个容器使用正常，扩展多个容器没法访问的问题。查看容器日志，发现如下异常：html

System.Security.Cryptography.CryptographicException: The key {efbb9f35-3a49-4f7f-af19-0f888fb3e04b} was not found in the key ring.
2019-09-30T18:34:55.473037193+08:00    at Microsoft.AspNetCore.DataProtection.KeyManagement.KeyRingBasedDataProtector.UnprotectCore(Byte[] protectedData, Boolean allowOperationsOnRevokedKeys, UnprotectStatus& status)
2019-09-30T18:34:55.473046762+08:00    at Microsoft.AspNetCore.DataProtection.KeyManagement.KeyRingBasedDataProtector.DangerousUnprotect(Byte[] protectedData, Boolean ignoreRevocationErrors, Boolean& requiresMigration, Boolean& wasRevoked)
2019-09-30T18:34:55.473055477+08:00    at Microsoft.AspNetCore.DataProtection.KeyManagement.KeyRingBasedDataProtector.Unprotect(Byte[] protectedData)
2019-09-30T18:34:55.473064427+08:00    at Microsoft.AspNetCore.Session.CookieProtection.Unprotect(IDataProtector protector, String protectedText, ILogger logger)

经过排查，发现了是因为 ASP.NET Core Data Protection 机制引发的。redis

Data Protection 机制

对于Data Protection机制，晓东大大已经有系列文章详述了，我这里就再也不过多赘述，只简单总结一下。须要了解详细的机制，建议阅读如下系列文章：浏览器

ASP.NET Core 数据保护（Data Protection）【上】
ASP.NET Core 数据保护（Data Protection）【中】
ASP.NET Core 数据保护（Data Protection 集群场景）【下】缓存

Data Protection（数据安全）机制：为了确保Web应用敏感数据的安全存储，该机制提供了一个简单、基于非对称加密改进的、性能良好的、开箱即用的加密API用于数据保护。
它不须要开发人员自行生成密钥，它会根据当前应用的运行环境，生成该应用独有的一个私钥。这在单一部署的状况下没有问题。
一旦在集群环境下进行水平扩展，那么每一个独立的应用都有一个独立的私钥。这样在负载均衡时，一个请求先在A容器创建的Session会话，该机制会经过当前容器的密钥加密Cookie写入到客户端，下个请求路由到B容器，携带的Cookie在B容器是没法经过B容器的密钥进行解密。
进而会致使会话信息丢失的问题。因此在集群状况下，为了确保加密数据的互通，应用必须共享私钥。安全

私钥共享

这里以使用Redis来共享私钥举例，添加Microsoft.AspNetCore.DataProtection.StackExchangeRedis Nuget包用于存储密钥。
添加Microsoft.Extensions.Caching.StackExchangeRedisNuget包用于配置分布式Session。cookie

public IServiceProvider ConfigureServices(IServiceCollection services)
{

    //获取Redis 链接字符串
    var redisConnStr = this.Configuration.GetValue<string>(SigeAppSettings.Redis_Endpoint);
    var redis = ConnectionMultiplexer.Connect(redisConnStr);//创建Redis 链接
    
    //添加数据保护服务，设置统一应用程序名称，并指定使用Reids存储私钥
    services.AddDataProtection()
        .SetApplicationName(Assembly.GetExecutingAssembly().FullName)
        .PersistKeysToStackExchangeRedis(redis, "DataProtection-Keys");
   
    //添加Redis缓存用于分布式Session
    services.AddStackExchangeRedisCache(options =>
    {
        options.Configuration = redisConnStr;
        options.InstanceName =Assembly.GetExecutingAssembly().FullName;
    });

    //添加Session
    services.AddSession(options =>
    {
        options.Cookie.Name = Assembly.GetExecutingAssembly().FullName;
        options.IdleTimeout = TimeSpan.FromMinutes(20);//设置session的过时时间
        options.Cookie.HttpOnly = true;//设置在浏览器不能经过js得到该cookie的值
        options.Cookie.IsEssential = true;
    }
   );
}