什麼用於加密密鑰和存儲位置？

Question

我使用這個QA提出的解決方案：https://stackoverflow.com/a/2791259/2713516

但是，我看到有些人在存儲的代碼作爲一個字段的鍵（隨機「密碼」），但我想知道如果這實際上是一個好主意。 該解決方案中使用的鹽也是該課程的一個領域。

一些建議使用用戶密碼，但因爲這可以改變我不認爲這是一個好主意。

所以我的問題是。 是否將鹽存儲在類中，就像上述解決方案中提供的字段一樣好？ 我應該如何使用加密/解密密鑰？ （爲所有用戶提供一些隨機密鑰）？ 我應該在哪裏存儲這個密鑰？在課堂上作爲一個領域？在數據庫中？

謝謝！

Answer 1

個人而言，我會將密鑰存儲在應用程序的配置文件中。 可以是app.config文件或web.config文件（取決於它是桌面還是Web應用程序）。

<add key="EncryptionKey" value="MY_KEY" /> 

我會使用一些隨機字符串生成器來生成密鑰。

您是否期望經常更換密鑰？

此外 - 爲了web.config的生產轉換，我建議將加密密鑰從SCM解決方案（GIT，SVN等）中取出。我把所有的我們都保存在一個單獨的KeyPass數據庫中。