看这里:https://msdn.microsoft.com/en-us/library/dtkwfdky.aspx
他们在web.config 和ConnectionStrings 中加密machineKey。
这是因为在每个站点使用自定义machineKey 时,它会使用机器密钥来加密连接字符串吗?
或者机器密钥只是用于视图状态加密?因此,谨慎的做法是对其进行加密以帮助保护应用程序?
【问题讨论】:
标签: asp.net iis encryption web-config
MachineKey 仅用于加密/解密/验证 ASP.NET cookie 和防伪令牌,它主要处理与用户数据相关的安全性。 MachineKey 与解密配置值无关。 ASP.NET 不会使用MachineKey 来解密连接字符串。
事实上MachineKey 与连接字符串一样敏感,因为在获得它之后,某人可以轻松地创建一个经过身份验证的cookie,这将允许他们登录到任何用户。这就是为什么它应该被加密。
你必须自己加密MachineKey。
【讨论】:
machinekey。如果您在 IIS 中为每个应用程序使用默认的 machineKey,它是否仍然可以获取,或者这是否有效地保护了它?
web.config 坐在 FTP 站点等更难...再次感谢您的澄清,以及如何机器密钥可以用来对付你!