ASP.net2.0的machineKey
machineKey的作用在于下述场景:
ASP.net 使用 forms authentication 时的 cookie 数据的加密和解密。以确保这部分数据不会被篡改。
viewstate 数据的加密和解密。以确保这部分数据不会被篡改。
使用进程外session(out-of-process session)时,对会话状态标识进行验证。
ASP.net 1.0 以及 ASP.net 1.1, 我们都可以在下面地址的文件中找到machineKey的配置信息:
%Windir%\Microsoft.NET\Framework\<version>\config\machine.config
不同的是 ASP.net 1.0 找到的是如下的配置信息
<machineKey
validationKey="AutoGenerate"
decryptionKey="AutoGenerate"
validation="SHA1"/>
ASP.net 1.1 找到的是如下信息:
<machineKey
validationKey="AutoGenerate,IsolateApps"
decryptionKey="AutoGenerate,IsolateApps"
validation="SHA1"/>
但是 ASP.net 2.0 , .net Framework 3.0 ,.net Framework 3.5 这些版本中,我们在
%Windir%\Microsoft.NET\Framework\<version>\config\
目录的 machine.config 和 web.config 中找不到machineKey的设置。
这是因为, ASP.net 2.0 中,machineKey 的默认设置没有写在配置文件中。
ASP.net 2.0 中,machineKey 的默认设置如下:
<machineKey
validationKey="AutoGenerate,IsolateApps"
decryptionKey="AutoGenerate,IsolateApps"
validation="SHA1"
decryption="Auto" />
我们如果要修改machineKey的默认设置,就需要在必要的地方新加machineKey的配置节点。
产生一个可用的 machineKey 配置信息可以使用下面地址提供的工具:
http://www.aspnetresources.com/tools/keycreator.aspx
参考资料:
How To: Configure MachineKey in ASP.NET 2.0
http://msdn.microsoft.com/zh-cn/library/ms998288(en-us).aspx
machineKey 元素(ASP.NET 设置架构)
http://msdn.microsoft.com/zh-cn/library/w8h3skw9(VS.80).aspx
http://msdn.microsoft.com/en-us/library/w8h3skw9.aspx
-------------
Asp.Net应用程序中为什么要MachineKey?如何生成MachineKey?
如果你的Asp.Net程序执行时碰到这种错误:“验证视图状态 MAC 失败。如果此应用程序由网络场或群集承载,请确保 <machineKey> 配置指定了相同的 validationKey 和验证算法。不能在群集中使用 AutoGenerate。”那么说明你没有让你的应用程序使用统一的machineKey,那么machineKey的作用是什么呢?按照MSDN的标准说法:“对密钥进行配置,以便将其用于对 Forms 身份验证 Cookie 数据和视图状态数据进行加密和解密,并将其用于对进程外会话状态标识进行验证。”也就是说Asp.Net的很多加密,都是依赖于machineKey里面的值,例如Forms 身份验证 Cookie、ViewState的加密。默认情况下,Asp.Net的配置是自己动态生成,如果单台服务器当然没问题,但是如果多台服务器负载均衡,machineKey还采用动态生成的方式,每台服务器上的machinekey值不一致,就导致加密出来的结果也不一致,不能共享验证和ViewState,所以对于多台服务器负载均衡的情况,一定要在每台站点配置相同的machineKey。
machineKey生成的算法:
validationKey = CreateKey(20);
decryptionKey = CreateKey(24);
protected string CreateKey(int len)
{
byte[] bytes = new byte[len];
new RNGCryptoServiceProvider().GetBytes(bytes);
StringBuilder sb = new StringBuilder();
for(int i = 0; i < bytes.Length; i++)
{
sb.Append(string.Format("{0:X2}",bytes[i]));
}
return sb.ToString();
}
附参考的matchineKey配置:
<?xml version="1.0"?>
<configuration>
<system.web>
<machineKey validationKey="3FF1E929BC0534950B0920A7B59FA698BD02DFE8" decryptionKey="280450BB36319B474C996B506A95AEDF9B51211B1D2B7A77" decryption="3DES" validation="SHA1"/>
</system.web>
</configuration>
---------------------------
加密MachineKey ASP.NET中设置MachineKey可以很轻松的实现SSO,可以在所有ASP.NET站点中添加如下配置:
<machineKey validationKey="XXXXXX" decryptionKey="XXX" validation="SHA1" />
validationKey可以为视图状态、身份验证Cookie、Session等重要的信息添加杂乱信息以防止重要信息被篡改。
为了防止validationKey和decryptionKey以明文的方式进行显示,可以使用ProtectSection方法对machineKey配置节进行加密。
1、在Web.config中添加原始的配置,如:
<machineKey validationKey="XXXXXX" decryptionKey="XXX" validation="SHA1" />
2、通过程序对system.web/machineKey节进行加密和解密
加密方式如下:
Configuration config = WebConfigurationManager.OpenWebConfiguration("/");
ConfigurationSection machineKeySection = config.GetSection("system.web/machineKey");
machineKeySection.SectionInformation.ProtectSection("RSAProtectedConfigurationProvider");
machineKeySection.SectionInformation.ForceSave = true;
config.Save();解密方式如下:
Configuration config = WebConfigurationManager.OpenWebConfiguration("/");
ConfigurationSection machineKeySection = config.GetSection("system.web/machineKey");
machineKeySection.SectionInformation.UnprotectSection();
machineKeySection.SectionInformation.ForceSave = true;3、通过程序加密就会得到类拟:
<machineKey configProtectionProvider="RsaProtectedConfigurationProvider">
<EncryptedData Type="http://www.w3.org/2001/04/xmlenc#Element"
xmlns="http://www.w3.org/2001/04/xmlenc#">
<EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#tripledes-cbc" />
</EncryptedData>
</machineKey>这样的配置,你只要把这段配置复制到各个需要SSO的站点的Web.config就可以了,系统在运行过程中会自动进行解密
如果想变回原来的明文显示可以执行解密的相反过程就行
注意:其中的OpenWebConfiguration("/");表示打开站点根目录下的web.config
____________________________________________________________________________________________________________
ASP.NET Post页面及验证视图状态MAC失败问题的正确解决办法
今天做了个首页登陆的页面,是用Request.Form接收参数的
然后又做了个测试页面test.aspx,代码如下:
<body>
<form id="form1" runat="server" method="post" action="Default.aspx">
<div>
<input type="text" runat="server" id="Solution" value="(Local)" />
<input type="text" runat="server" id="UserName" value="ricky" />
<input type="text" runat="server" id="Password" value="111" />
<input type="submit" runat="server" />
</div>
</form>
</body>
但是测试的时候发现test页面始终post到他自己
去掉runat标记则可以post到default.aspx,但取不到值
后来在IE里面查看源代码,发现html是这个样子的<form id="form1" method="post" action="test.aspx">
也就是说生成的html里始终是post到自己的
知道问题就好办了
修改代码:
<form id="form1" runat="server" method="post" onsubmit="this.action='Default.aspx'">
一切OK,post到default.aspx了
然后又报错了
验证视图状态 MAC 失败。如果此应用程序由网络场或群集承载,请确保 <machineKey> 配置指定了相同的 validationKey 和验证算法。不能在群集中使用 AutoGenerate
去网上搜了搜,说问题的原因是asp.net的runat='server' 会对ViewStat进行MAC的加密,解决办法基本上就2个:
1:修改当前页面的@page属性,添加enableEventValidation="false" viewStateEncryptionMode="Never"
或者在web.config里添加<pages enableEventValidation="false" viewStateEncryptionMode="Never" />
2:在web.config里指定validationKey和验证算法
<machineKey validation="3DES" validationKey="319B474B1D2B7A87C996B280450BB36506A95AEDF9B51211" decryption="3DES" decryptionKey="280450BB36319B474C996B506A95AEDF9B51211B1D2B7A87" />
可是实际试下来发现没用,问题依旧
查了查资料加上实际测试,终于发现了正确的解决办法
修改当前页面的@page属性,添加enableEventValidation="false" enableViewStateMac="false"
或者在web.config里添加<pages enableEventValidation="false" enableViewStateMac="false" />
