[ASP.NET]Mã hóa và giải mã section trong tập tin web.config

[neverland87]

Tên bài viết: Mã hóa và giải mã section trong tập tin web.config
Tác giả: neverland87
Cấp độ bài viết: Vừa
Tóm tắt:

---

Trong lập trình web thì việc bảo mật thông tin luôn giữ một vai trò quan trọng. Khi làm việc với web asp.net 2.0 thì bạn phải thao tác với tập tin cấu hình web.config của nó. Đây là nơi chứa đựng những thông tin nhạy cảm. Và với vai trò là 1 nhà quản trị web, bạn phải tìm cách mã hóa (và tất nhiên là phải giải mã được) những đoạn (sections) trong tập tin này. Trong bài viết này, mình sẽ hướng dẫn bạn mã hóa phân đoạn <connectionStrings></connectionStrings>.

Bước 1: Tạo mới hoặc mở ứng dụng web asp.net (nếu đã có).
Bước 2: Tạo tập tin web.config (nếu chưa có)
Bước 3: Mở tập tin web.config, và thêm vào phân đoạn connectionStrings như sau:

Code: Select all

<configuration>      <appSettings>            <add key="var1" value="SomeValue"/>      </appSettings>      <connectionStrings> <add name="MyConnString" connectionString="Data Source=(local);Initial Catalog=Northwind;Integrated Security=True;" /> </connectionStrings>      <system.web>...</configuration>

Bước 4: Thêm vào trang web của bạn 2 button control: btnEncrypt và btnDecrypt. Mục đích: khi nhấn vào btnEncrypt thì sẽ mã hóa thông tin trong phân đoạn <connectionStrings> và btnDecrypt sẽ có nhiệm vụ giải mã thông tin đã được mã hóa.

Bước 5: Vào vùng soạn thảo code (nhấn F7), khai báo 2 biến toàn cục sau:

Code: Select all

Private provider As String = "RSAProtectedConfigurationProvider"Private section As String = "connectionStrings"

Sau đó: Imports System.Web.Configuration

Bước 6: Thụ lý tình huống Click cho btnEncrypt:

Code: Select all

Protected Sub btnEncrypt_Click(ByVal sender As Object, ByVal e As EventArgs)Try      Dim confg As Configuration = WebConfigurationManager.OpenWebConfiguration(Request.ApplicationPath)      Dim confStrSect As ConfigurationSection = confg.GetSection(section)      If Not confStrSect Is Nothing Then            confStrSect.SectionInformation.ProtectSection(provider)            confg.Save()      End If      Response.Write("Configuration Section " & "<b>" & WebConfigurationManager.ConnectionStrings("MyConnString").ConnectionString & "</b>" & " is automatically decrypted")Catch ex As Exception End TryEnd Sub

Bước 7: Thụ lý tình huống Click của btnDecrypt:

Code: Select all

Protected Sub btnDecrypt_Click(ByVal sender As Object, ByVal e As EventArgs)Try      Dim confg As Configuration = WebConfigurationManager.OpenWebConfiguration(Request.ApplicationPath)      Dim confStrSect As ConfigurationSection = confg.GetSection(section)      If Not confStrSect Is Nothing AndAlso confStrSect.SectionInformation.IsProtected Then            confStrSect.SectionInformation.UnprotectSection()            confg.Save()      End If Catch ex As Exception End TryEnd Sub

Bước 8: Chảy thử web (F5), nhấn vào btnEncrypt, sau đó tắt cửa sổ ứng dụng web của bạn.
Do ứng dụng web được chạy tại hệ thống cục bộ, nên lúc này sẽ có 1 hộp thoại hiện ra cho biết tập tin web.config đã bị thay đổi nội dung, nó hỏi bạn có lưu hay không, bạn cứ chọn “Yes to All” là được.

Bây giờ bạn thử mở tập tin web.config lên, bạn sẽ thấy sự thay đổi rõ ràng ở phân đoạn connectionStrings:

Code: Select all

<connectionStrings configProtectionProvider="RsaProtectedConfigurationProvider">  <EncryptedData Type="http://www.w3.org/2001/04/xmlenc#Element"   xmlns="http://www.w3.org/2001/04/xmlenc#">   <EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#tripledes-cbc" />   <KeyInfo xmlns="http://www.w3.org/2000/09/xmldsig#">    <EncryptedKey xmlns="http://www.w3.org/2001/04/xmlenc#">     <EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#rsa-1_5" />     <KeyInfo xmlns="http://www.w3.org/2000/09/xmldsig#">      <KeyName>Rsa Key</KeyName>     </KeyInfo>     <CipherData>      <CipherValue>CHuj8aWLgxN8oj1PfAREoZFoepWpnJoxVzejZuHiOiJcCm6xp9vJ2O9QthW6yaRcG+8l6GWc1gj9+h4qvgjMhsvUgCTBGhp8109rT5ZFCbPJ+cJY9p78zAFTS7luW3pFdTj2/PzL3/TDrs2jDAw9OvA0KAHxTtJVJgZZAiWxqvg=</CipherValue>     </CipherData>    </EncryptedKey>   </KeyInfo>   <CipherData>    <CipherValue>Z+7AOlW/Xvk8vf6l+haaJytnUXfs8dFw1Lrpc9ovqrszJR1KsIL1zF1JW93CGy3UIHzQho/3DQhBJCgQpZXZs/pOyzUWe9wTX4SAOOZS2gsACHeZrDSYlaV1olJQC8Xjlq20FsomirRoL2jPGV2ypmMvR8yo+fx0Gpy43Qo8SRsN9K+oWbQsbicKo1btNCUAhYr4XMhlbonmMh2PjbjkDOxOumicuCaYiCXzvgzrj/k=</CipherValue>   </CipherData>  </EncryptedData> </connectionStrings>

Bước 9: Nhấn F5 lần nữa để chạy web. Bây giờ nhấn vào btnDecrypt để giải mã. Cuối cùng bạn có nội dung đã được giải mã:

Code: Select all

<connectionStrings>  <add name="MyConnString" connectionString="Data Source=(local);Initial Catalog=Northwind;Integrated Security=True;" /> </connectionStrings>

Trong đoạn code trên, bạn mở tập tin web.config bằng phương thức OpenWebConfiguration của đối tượng System.Configuration.Configuration. Sau đó chúng ta sử dụng phương thức GetSection của đối tượng Configuration vừa tạo để trỏ đến phân đoạn trong web.config, ở đây là connectionStrings.
Bước kế, ta tiến hành mã hóa phân đoạn vừa được trỏ tới qua đoạn code:

Code: Select all

confStrSect.SectionInformation.ProtectSection(provider)

Cuối cùng tiến hành lưu lại những thay đổi trên tập tin web.config:

Code: Select all

confg.Save()

Quá trình giải mã cũng tương tự như vậy, giải mã thông qua đoạn code sau:

Code: Select all

confStrSect.SectionInformation.UnprotectSection()

[NoBi]

Phải Imports System.Web.Configuration thì nó mới hiểu thằng WebConfigurationManager (ở trên hướng dẫn Imports System.Configuration là sai).

[neverland87]

Phải Imports System.Web.Configuration thì nó mới hiểu thằng WebConfigurationManager (ở trên hướng dẫn Imports System.Configuration là sai).

Cám ơn anh đã phát hiện chỗ sai trong bài. Em đã sửa lại cho đúng

[chieuhado]

Bạn ơi cho mình hỏi nếu muốn người ta không lấy được dữ liệu từ website của mình thì phải làm sao ạ ????
Có phải mình viết code để mã hóa dữ liệu ( hay còn gọi là bảo mật dữ liệu ) không ????
Có phải đoạn code trên cũng giúp mình bảo mật dữ liệu không nhỉ ?????????
ai biết làm ơn chỉ giúp mình đi
_________________________________________________
tuyen dung|viec lam|tim viec

[Lam Tieu Tuong]

Để người ta không lấy được dữ liệu của bạn thì cách nhanh nhất là đừng làm website nữa .
Hehe đùa vậy thôi chứ yêu cầu của bạn không có rõ ràng. Người ta ở đây là ai, ai lấy được, ai không được lấy. Dữ liệu ở đây là những gì, dữ liệu dạng nào muốn bảo mật.

[domhienxl]

bạn ơi cho mình hỏi?
có cách nào tạo một block ghi nhận lại thời gian đăng nhập và các thay đổi của user đối với cơ sở dữ liệu.
Điều này giúp cho người quản trị biết user nào đã đăng nhập vào hệ thống và chỉnh sửa thông tin gì trong cơ sở dữ liệu ( trường hợp có nhiều admin tham gia chỉnh sữa cơ sở dữ liệu).