- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我有一个 netcoreapp2.2 容器化应用程序,它使用 azure key Vault 来存储 key ,还使用:
app.UseAuthentication();
还有
services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
我正在应用服务下的托管 Linux 环境中构建/运行 docker 镜像。我正在使用 azure 容器注册表和开发操作管道来维护我的应用程序。 Azure 控制部署过程和“docker run”命令。
我的应用程序运行良好,但是在容器日志中我看到:
2019-12-13T17:18:12.207394900Z [40m[1m[33mwarn[39m[22m[49m: Microsoft.AspNetCore.DataProtection.KeyManagement.XmlKeyManager[35]
2019-12-13T17:18:12.207436700Z No XML encryptor configured. Key {...} may be persisted to storage in unencrypted form.
...
2019-12-13T17:18:14.540484659Z Application started. Press Ctrl+C to shut down.
我意识到有很多其他帖子都提到了使用其他存储机制,但是我正在使用 key 保管库来存储我的敏感数据。 JWT 全部由 Key Vault 处理。我有一些控制 DEV/QA/PROD 静态变量的应用程序设置,但它们根本不是敏感数据。
我也不确定内存中存储了什么 key ,因为所有我的敏感 key 完全在应用程序之外,并由以下调用:
var azureServiceTokenProvider = new AzureServiceTokenProvider();
var keyVaultClient = new KeyVaultClient(
new KeyVaultClient.AuthenticationCallback(
azureServiceTokenProvider.KeyVaultTokenCallback));
config.AddAzureKeyVault(
$"https://{builtConfig["MY_KEY_VAULT_ID"]}.vault.azure.net/",
keyVaultClient,
new DefaultKeyVaultSecretManager());
我很难理解为什么会抛出此警告,以及我是否应该采取其他措施来缓解该问题。我个人没有看到副作用,并且应用程序重新启动似乎没有任何影响,因为我使用的是不记名 token ,并且 token 过期、密码重置等其他问题不适用。
所以我想问是否可以采取任何其他步骤来避免此警告?我是否需要确保对于 Linux 环境中可能存在的任何配置设置都有更好的静态数据机制?我可以安全地忽略此警告吗?
最佳答案
我花了一段时间才找到一种适合我的应用程序需求的方法,但我想澄清一些其他堆栈答案,这些答案对我来说没有意义,以及我最终如何理解问题。
TLDR;由于我已经在使用 Key Vault,因此我对 .net core 的工作原理感到困惑。我没有意识到 config.AddAzureKeyVault() 与 .net core 如何决定在应用服务上存储静态数据无关。
当您看到此警告时:
No XML encryptor configured. Key {GUID} may be persisted to storage in unencrypted form.
设置什么 GUID 并不重要:该数据字符串并未以静态方式加密存储。
对于我的风险分析,任何未静态加密的信息都是一个坏主意,因为这可能意味着在未来的任何时候,某种敏感数据可能会泄漏,然后暴露给攻击者。最后,我选择将静态数据分类为敏感数据,并谨慎对待潜在的攻击面。
我一直在努力尝试以清晰简洁的方式解释这一点,但很难用几句话来概括。这是我学到的。
我使用以下方法删除警告并创建静态加密数据:
services.AddDataProtection()
// Create a CloudBlockBlob with AzureServiceTokenProvider
.PersistKeysToAzureBlobStorage(...)
// Create a KeyVaultClient with AzureServiceTokenProvider
// And point to the RSA key by id
.ProtectKeysWithAzureKeyVault(...);
我已经在我的应用程序中使用了 RBAC 和 Key Vault(具有包装/解开权限),但我还将 Storage Blob Data Contributor 添加到了存储帐户。
如何创建 blob 取决于您,但一个问题是同步创建访问 token :
// GetStorageAccessToken()
var token = new AzureServiceTokenProvider();
return token.GetAccessTokenAsync("https://storage.azure.com/")
.GetAwaiter()
.GetResult();
然后我从一个方法中调用它:
var uri = new Uri($"https://{storageAccount}.blob.core.windows.net/{containerName}/{blobName}");
//Credentials.
var tokenCredential = new TokenCredential(GetStorageAccessToken());
var storageCredentials = new StorageCredentials(tokenCredential);
return new CloudBlockBlob(uri, storageCredentials);
克服这个障碍后,加密就变得简单了。 Keyvault ID 是您正在使用的加密 key 的位置。
https://mykeyvaultname.vault.azure.net/keys/my-key-name/{VersionGuid}
创建客户端是
var token = new AzureServiceTokenProvider();
var client = new KeyVaultClient(new KeyVaultClient.AuthenticationCallback(token.KeyVaultTokenCallback));
services.AddDataProtection()
.ProtectKeysWithAzureKeyVault(client, keyVaultId);
我还必须感谢这个博客:https://joonasw.net/view/using-azure-key-vault-and-azure-storage-for-asp-net-core-data-protection-keys因为这为我指明了正确的方向。
https://learn.microsoft.com/en-us/aspnet/core/security/data-protection/configuration/default-settings?view=aspnetcore-2.2这也指出了为什么 key 没有加密
https://learn.microsoft.com/en-us/azure/role-based-access-control/built-in-roles - 应用程序的 RBAC
https://learn.microsoft.com/en-us/aspnet/core/security/data-protection/configuration/overview?view=aspnetcore-3.1一开始这很令人困惑,但对于如何在生产中授予访问权限和限制访问权限提供了很好的警告。
关于linux - 未配置 XML 加密器 - 使用 Key Vault 时,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/59331645/
正如标题中所问,我有两个如下结构的 XML 文件 A.xml //here I want to include B.xml
我有一个 xml 文件。根据我的要求,我需要更新空标签,例如我需要更改 to .是否可以像那样更改标签.. 谢谢... 最佳答案 var xmlString=" "; var properStri
我有这样简单的 XML: Song Playing 09:41:18 Frederic Delius Violin Son
在我的工作中,我们有自己的 XML 类来构建 DOM,但我不确定应该如何处理连续的空格? 例如 Hello World 当它被读入 DOM 时,文本节点应该包含 Hello 和 World
我有以下 2 个 xml 文件,我必须通过比较 wd:Task_Name_ID 和 TaskID 的 XML 文件 2。 例如,Main XML File-1 wd:Task_Name_ID 具有以下
我在 Rails 应用程序中有一个 XML View ,需要从另一个文件插入 XML 以进行测试。 我想说“构建器,只需盲目地填充这个字符串,因为它已经是 xml”,但我在文档中看不到这样做的任何内容
我正在重建一些 XML 提要,因此我正在研究何时使用元素以及何时使用带有 XML 的属性。 一些网站说“数据在元素中,元数据在属性中。” 那么,两者有什么区别呢? 让我们以 W3Schools 为例:
在同一个文档中有两个 XML 声明是否是格式正确的 XML? hello 我相信不是,但是我找不到支持我的消息来源。 来自 Extensible Markup Language
我需要在包装器 XML 文档中嵌入任意(语法上有效的)XML 文档。嵌入式文档被视为纯文本,在解析包装文档时不需要可解析。 我知道“CDATA trick”,但如果内部 XML 文档本身包含 CDAT
XML 解析器和 XML 处理器是两个不同的东西吗?他们是两个不同的工作吗? 最佳答案 XML 解析器和 XML 处理器是一样的。它不适用于其他语言。 XML 是通用数据标记语言。解析 XML 文件已
我使用这个 perl 代码从一个文件中读取 XML,然后写入另一个文件(我的完整脚本有添加属性的代码): #!usr/bin/perl -w use strict; use XML::DOM; use
我正在编写一个我了解有限的历史脚本。 对象 A 的类型为 system.xml.xmlelement,我需要将其转换为类型 system.xml.xmldocument 以与对象 B 进行比较(类型
我有以下两个 XML 文件: 文件1 101 102 103 501 502 503
我有以下两个 XML 文件: 文件1 101 102 103 501 502 503
我有一个案例,其中一个 xml 作为输入,另一个 xml 作为输出:我可以选择使用 XSL 和通过 JAXB 进行 Unmarshalling 编码。性能方面,有什么真正的区别吗? 最佳答案 首先,程
我有包含 XML 的 XML,我想使用 JAXB 解析它 qwqweqwezxcasdasd eee 解析器 public static NotificationRequest parse(Strin
xml: mario de2f15d014d40b93578d255e6221fd60 Mario F 23 maria maria
尝试更新 xml 文件数组时出现以下错误。 代码片段: File dir = new File("c:\\XML"); File[] files = dir.listFiles(new Filenam
我怎样才能完成这样的事情: PS /home/nicholas/powershell> PS /home/nicholas/powershell> $date=(Get-Date | ConvertT
我在从 xml 文件中删除节点时遇到一些困难。我发现很多其他人通过各种方式在 powershell 中执行此操作的示例,下面的代码似乎与我见过的许多其他示例相同,但我没有得到所需的行为。 我的目标是将
我是一名优秀的程序员,十分优秀!