使用aspnet_iisreg跨环境web.config加密

Question

我正在研究一个asp.net mvc-5 web应用程序。我使用由第三方应用程序生成的安全令牌从我的服务器端调用第三方API。 现在我传递的令牌以安全的方式如下： -

• 我将标记添加到http标头。
• 我们正在使用https与第三方系统进行通信。

所以我认为令牌不能在其传输过程中被黑客入侵。但我面临的问题是我如何存储和读取令牌本身。目前我储存这个我们web.config节内： -

<appSettings> 

.....  
..... 
    <add key="SecureToken" value="12345" /> 
..... 
..... 
</appSettings> 

，我如下检索我的应用程序内的值： -

string Token = System.Web.Configuration.WebConfigurationManager.AppSettings["SecureToken"] 

，所以我面临的安全问题是，如果有人访问在线服务器，他可以读取web.config文件并获取安全令牌。所以我读到我可以使用aspnet_iisreg命令加密部分web.config部分。但现在我不确定我可以如何强制这个在我的环境中工作？我的意思是我需要在一个environemnt内部运行aspnet_iisreg让我们说Dev？或者我需要在三个环境中分别运行这个命令？

Answer 1

它应该运行一个部署脚本，它可以是msi或powershell或其他东西。如果你手动部署，它需要aspnet_regiis -pe“yourappsettings”-app ...这也是一个手动工作并且容易出错。因此，开发一个包含所有页面，dll，.js，图片等的包，并安装该包（msi或powershell或其他）并将其安装到您的服务器。在该软件包中包含一个执行aspnet_regiis命令的脚本，该命令应在虚拟目录创建后运行，主要应该是最后一种操作。如果你使用的是PowerShell，它是一组指令 - 所以一条指令应该是aspnet_regiis命令。尝试使用VS web部署包的后期构建事件。