當你准備將Web應用程序從ASP.NET 1.1升級到ASP.NET 2.0,你將面對這樣一個cookIE問題:在ASP.Net 1.1應用程序中客戶端保存的所有cookIE將失效。
博客園也遇到了這樣的問題,對博客園來說,意味著所有使用cookIE的用戶都需要重新登錄,雖然這不是一個很大的問題,但的確給大家帶來了麻煩,如果忘記了密碼,將更加麻煩。
對於一個非常重視用戶滿意度的網站來說,應該努力去解決這個問題。博客園希望盡可能減少升級帶來的影響,所以這兩天我一直在研究這個問題並找到了解決方法。
問題的原因是:當程序從ASP.NET 1.1升級到於ASP.NET 2.0後,ASP.NET 2.0使用新的算法與密鑰對客戶端發送過來的cookie進行解密,這樣導致ASP.NET中生成的cookie在ASP.NET 2.0中失效。在ASP.NET 1.1中,使用3DES算法對cookie的內容進行加密,而在ASP.NET 2.0中默認使用Advanced Encrypted Standards (AES)算法進行解密,這是引起問題的原因之一,通過相應的設置可以將ASP.NET 2.0中將cookIE加密算法改為3DES,只需在web.config中加上:<MachineKey decryption="3DES"/>。但這樣做之後問題依然存在,因為解密時除了需要相同的算法,還需要相同的密鑰。如果沒有在MachineKey中指定密鑰,ASP.NET 2.0會默認會使用隨機生成的密鑰,這個隨機密鑰由System.Web.HttpRuntime.SetAutogenKeys()生成並存儲於System.Web.HttpRuntime.s_autogenKeys中,通過反射你可以獲取這個值。ASP.Net 1.1的machineKey是在Machine.config中進行設置的,默認也是使用隨機密鑰:
<MachineKey validationKey="AutoGenerate,IsolateApps" decryptionKey="AutoGenerate,IsolateAPPS" validation="SHA1"/>。
問題就出在不同的隨機密鑰上。如果你在原來的ASP.NET 1.1中指定了密鑰,那就不存在這個問題了,但一般在使用Web farm時,才會考慮這一點。所以通常情況都是使用隨機密鑰。ASP.NET會為不同的應用程序生成不同的隨機密鑰,這個客戶端cookIE失效問題會出一在很多情況下,比如:重裝系統、將ASP.Net應用程序移至另外一台計算機,將Web應用程序移到不同的虛擬目錄中等等。
如何解決這個問題呢?
原理很簡單,只要我們知道在ASP.NET 1.1中隨機生成的密鑰的值,然後在ASP.Net 2.0應用程序的web.config中進行指定就行了,這裡的密鑰有兩個:一個是加密密鑰decryptionKey,一個是散列計算密鑰validationKey(防止cookIE被中途篡改)。假如我們知道密鑰分別為:X、Y,那在web.config
進行如下設置就能解決問題:
<MachineKey validationKey="X" decryptionKey="Y" decryption="3DES"/>
而難題就在於如何得到ASP.Net 1.1中隨機生成的密鑰的值。密鑰存儲在LSA(Windows Local Security Authority)中,但我沒找到可以從LSA獲取密鑰的方法。
由於博客園主要是解決登錄cookie的問題,而這個cookie是在System.Web.Security.FormsAuthentication. SetAuthCookie(string userName, bool createPersistentCookIE)中生成的,所以我就從ASP.NET 1.1的System.Web.Security.FormsAuthentication的源代碼下手,發現了System.Web.Configuration.MachineKey,經過進一步對MachineKey的源代碼進行研究,在MachineKey的MachineKeyConfig中發現了兩個密鑰分別存在於s_validationKey與s_oDes這兩個私有靜態成員中(發現這個費了不少功夫),validationKey的值直接存儲於s_validationKey中,而decryptionKey存儲於s_oDes.Key中。由於MachineKey是internal class,MachineKeyConfig是私有類型,那兩個成員是私有靜態成員,無法直接訪問。這時,該是.Net中強大的反射功能發揮作用的時候了。通過反射得到這兩個值,需要注意的是這兩個值的類型是Byte[],通過測試發現直接轉換成字符串生成的密鑰無效,需要通過反射調用System.Web.Configuration.MachineKey.ByteArrayToHexString(Byte[], Int32) 轉換成字符串。
今天晚上終於解決了這個問題,好興奮!中途幾次想放棄,但想到在博客園程序升級到ASP.Net 2.0後,會因為這個問題給很多人帶來麻煩,雖然只需要重新登錄一下就行了,但我還是覺得要解決這個問題,做程序開發不就是盡可能給用戶帶來方便嗎?
解決了這個問題就為博客園網站升級到ASP.Net 2.0作好了進一步的准備。
出處:dudu-快樂程序員
