优先使用配置文件加密保护数据库连接字符串,.NET支持通过DataProtectionConfigurationProvider或RsaProtectedConfigurationProvider对connectionStrings节自动加解密,部署时需注意DPAPI限单机使用,跨服务器宜选RSA或结合Azure Key Vault等密钥服务实现安全管控。
数据库连接字符串包含敏感信息,如用户名、密码等,直接明文存储存在安全风险。在C#中实现连接字符串加密,可以通过配置文件加密(推荐)或手动加密敏感字段两种方式来处理。
使用DPAPI对配置文件进行加密(推荐方法)
Windows系统提供数据保护API(DPAPI),.NET框架封装为ProtectedConfigurationProvider,可对web.config或app.config中的特定节进行加密。步骤如下:
- 将连接字符串写入配置文件的
节点 - 使用 RsaProtectedConfigurationProvider 或 DataProtectionConfigurationProvider 加密该节
- 运行时读取时无需手动解密,.NET自动处理
Configuration config = ConfigurationManager.OpenExeConfiguration(ConfigurationUserLevel.None);
ConfigurationSection section = config.GetSection("connectionStrings");
if (!section.IsReadOnly() && !section.ElementInformation.IsLocked)
{
section.SectionInformation.ProtectSection("DataProtectionConfigurationProvider");
config.Save();
}
执行后,config文件中的 connectionStrings 节会变成加密的
手动加密连接字符串内容(灵活但需自行管理)
如果需要跨平台或更细粒度控制,可对连接字符串中的密码等字段单独加密。常用方法:
- 使用AES或RSA算法加密密码部分
- 在程序启动时解密并拼接完整连接字符串
- 密钥可通过环境变量、外部密钥服务等方式管理
public static string Encrypt(string plainText, byte[] key, byte[] iv)
{
using (Aes aes = Aes.Create())
{
aes.Key = key;
aes.IV = iv;
var encryptor = aes.CreateEncryptor();
using (var ms = new MemoryStream())
{
using (var cs = new CryptoStream(ms, encryptor, CryptoStreamMode.Write))
{
using (var sw = new StreamWriter(cs))
sw.Write(plainText);
return Convert.ToBase64String(ms.ToArray());
}
}
}
}
实际使用时,连接字符串从配置读取后,识别密码字段,调用解密函数还原后再传给 SqlConnection。
部署与注意事项
- DPAPI加密仅适用于Windows且绑定机器,不适用于多服务器部署
- RSA加密支持导出/导入密钥,适合Web Farm场景
- 避免在代码中硬编码密钥或密码
- 生产环境建议结合Azure Key Vault、AWS KMS等密钥管理服务
基本上就这些。优先考虑配置节加密,简单安全;特殊需求再选手动加密方案。关键是不让敏感信息以明文形式长期暴露。
