C#中的DPAPI密码加密并保存到数据库中.然后使用密钥对其进行解密

Question

我尝试过使用UTF8算法和SHA256进行密码加密,但建议不要使用它们.相反,我被建议使用DPAPI.我浏览了一些谷歌的示例代码并不清楚.你能帮我解决DPAPI算法吗？

Answer 1

您可以使用ProtectedData类访问DPAPI .有两种加密模式:

• CurrentUser:受保护的数据与当前用户相关联.只有在当前用户上下文下运行的线程才能取消保护数据.
• LocalMachine:受保护的数据与计算机上下文相关联.计算机上运行的任何进程都可以取消保护数据.此枚举值通常用于在不允许不受信任的用户访问的服务器上运行的特定于服务器的应用程序中.

对字符串进行编码并返回可以保存在数据库中的Base64字符串:

public static string Protect(string stringToEncrypt, string optionalEntropy, DataProtectionScope scope)
{
    return Convert.ToBase64String(
        ProtectedData.Protect(
            Encoding.UTF8.GetBytes(stringToEncrypt)
            , optionalEntropy != null ? Encoding.UTF8.GetBytes(optionalEntropy) : null
            , scope));
}

解码Base64字符串(您之前保存在数据库中):

public static string Unprotect(string encryptedString, string optionalEntropy, DataProtectionScope scope)
    {
        return Encoding.UTF8.GetString(
            ProtectedData.Unprotect(
                Convert.FromBase64String(encryptedString)
                , optionalEntropy != null ? Encoding.UTF8.GetBytes(optionalEntropy) : null
                , scope));
    }

您需要记住加密仅对机器(以及用户,如果您选择CurrentUser加密模式)有效,因此需要在同一服务器上执行加密/解密.

如果您计划在负载平衡环境下使用DPAPI,请参阅此文章.

如果您需要更多信息,请告诉我.

Answer 2

根据MSDN 的说法，DPAPI 是“使用用户或机器凭据来加密或解密数据”。我认为它使用 DES 或 AES 算法。

但对于密码，在保存到数据库之前，您应该始终使用带盐的单向哈希函数（MD5、SHA1...）。即使黑客可以访问您的服务器，他也永远无法解密用户的密码。

因此，请坚持使用 SHA256 解决方案。记得在炒之前加点盐。