ASP.NET Core 路由参数加密:使用 IDataProtector 隐藏真实 ID
背景与安全隐患
在 Web 应用程序中,直接在 URL 中暴露数据库的主键 ID(例如 /student/details/1)是一种常见做法。然而,这种方式存在明显的安全隐患:攻击者可以通过递增或递减 ID 来遍历系统数据,甚至猜测出敏感资源的地址。为了防止这种不安全的直接对象引用(IDOR),我们可以对 URL 中的路由参数进行加密混淆。
使用 Data Protection API
ASP.NET Core 提供了内置的 Microsoft.AspNetCore.DataProtection 命名空间,其中的 IDataProtector 接口可以轻松实现数据的加密与解密。它会自动管理加密密钥的轮换和存储,非常适合用于处理 URL 参数、Cookie 等短生命周期或需要防篡改的数据。
1. 定义加密用途(Purpose)
在数据保护 API 中,"Purpose" 字符串用于隔离不同的加密上下文。即使使用相同的密钥,不同的 Purpose 也会生成完全不同的密文。我们首先定义一个类来集中管理这些用途字符串。
public sealed class RouteProtectionPurposes
{
public const string StudentProfileId = "StudentProfile.Route.Id";
public const string OrderTrackingId = "OrderTracking.Route.Id";
public const string ArticleSlug = "Article.Route.Slug";
}2. 注册服务
在 Program.cs 中,将用途常量类注册到依赖注入容器中。通常,调用 AddControllersWithViews() 或 AddRazorPages() 时,数据保护服务已经默认注册。如果没有,可以显式调用 AddDataProtection()。
var builder = WebApplication.CreateBuilder(args);
// 确保数据保护服务已注册
builder.Services.AddDataProtection();
// 注册用途常量类
builder.Services.AddSingleton<RouteProtectionPurposes>();
// 注册其他业务服务
builder.Services.AddScoped<IStudentService, StudentService>();3. 在控制器中加密路由参数
在生成列表页面时,我们需要将实体的真实 ID 转换为加密字符串,并将其传递给视图以生成安全的 URL 链接。
public class StudentController : Controller
{
private readonly IDataProtector _protector;
private readonly IStudentService _studentService;
public StudentController(
IDataProtectionProvider protectionProvider,
RouteProtectionPurposes purposes,
IStudentService studentService)
{
// 使用特定的 Purpose 创建保护器实例
_protector = protectionProvider.CreateProtector(purposes.StudentProfileId);
_studentService = studentService;
}
[HttpGet]
public async Task<IActionResult> Index()
{
var students = await _studentService.GetAllStudentsAsync();
// 将真实 ID 加密并映射到视图模型
var viewModels = students.Select(s => new StudentListItemViewModel
{
FullName = s.FullName,
SecureId = _protector.Protect(s.Id.ToString())
}).ToList();
return View(viewModels);
}
}在 Razor 视图中,可以使用 SecureId 来构建链接:
<a asp-action="Details" asp-route-secureId="@model.SecureId">查看详情</a>4. 接收请求并解密参数
当用户点击链接访问详情页时,控制器需要接收加密的字符串,尝试解密,并处理可能出现的篡改异常。
public class StudentController : Controller
{
// ... 构造函数与字段同上 ...
[HttpGet("student/details/{secureId}")]
public async Task<IActionResult> Details(string secureId)
{
if (string.IsNullOrWhiteSpace(secureId))
{
return NotFound();
}
int realId;
try
{
// 尝试解密密文
var decryptedValue = _protector.Unprotect(secureId);
realId = int.Parse(decryptedValue);
}
catch (CryptographicException)
{
// 捕获加密异常:密文被篡改、密钥不匹配或已过期
return BadRequest("The provided identifier is invalid or has been tampered with.");
}
catch (FormatException)
{
// 捕获格式异常:解密后的字符串不是有效的整数
return BadRequest("Invalid identifier format.");
}
var student = await _studentService.GetStudentByIdAsync(realId);
if (student == null)
{
return NotFound();
}
return View(student);
}
}核心优势
通过上述实现,URL 中的 ID 变为了类似 /student/details/CfDJ8...(一长串Base64字符) 的格式。这不仅彻底杜绝了用户通过猜测 ID 遍历数据的可能,还自带了防篡改校验(如果用户修改了密文中的任何一个字符,Unprotect 方法都会抛出 CryptographicException)。相比于自行实现 AES 加密或引入第三方库,使用原生的 Data Protection API 更加轻量、安全且易于维护。
