C# 文件上传的服务器端加密 C#如何在存储到S3或Azure Blob时启用加密

张开发
2026/4/21 10:37:27 15 分钟阅读

最新文章

推荐文章

相关文章

分享文章

C# 文件上传的服务器端加密 C#如何在存储到S3或Azure Blob时启用加密
必须在IFormFile流读取完成后、写入S3前加密使用AesGcm或AesCryptoServiceProvider密钥和nonce须安全存储于配置或Key VaultS3 ContentLength需设为加密后真实长度。ASP.NET Core 中上传文件后立即加密再传 S3直接在内存中加密避免明文临时落盘。关键不是“能不能加”而是“在哪一环加”——必须在 IFormFile 流读取完成后、写入 S3 前完成加密否则等于没加。用 AesGcm.NET 5或 AesCryptoServiceProvider兼容旧版别用已弃用的 RijndaelManaged密钥和 nonce 必须随文件一起安全传递比如存进数据库元数据但 绝不能硬编码在代码里推荐从 IConfiguration 读取或使用 Azure Key VaultS3 SDK 的 PutObjectRequest 接收的是 Stream所以把加密后的 MemoryStream 直接传进去即可无需保存本地文件注意加密流长度 ≠ 原始流长度GCM 会加认证标签S3 的 ContentLength 必须设为加密后的真实字节数否则上传失败或校验出错Azure Blob Storage 上传前启用客户端加密非服务端加密Azure SDK 支持客户端加密但默认不开启它和 S3 的“服务端加密SSE”不是一回事——这里说的是你控制密钥、在上传前就加密Blob 存的永远是密文。必须用 Azure.Storage.Blobs.Specialized.EncryptedBlobClient普通 BlobClient 不行密钥需封装为 KeyEncryptionKey 实现类如 LocalKeyEncryptionKey且 KeyWrapAlgorithm 推荐 A256KW加密只对块 Blob 有效Page Blob 和 Append Blob 不支持客户端加密上传时若用 UploadAsync(Stream, ...)传入的必须是原始明文流SDK 内部自动加密不需要你手动调 Encrypt()解密时也必须用同一个 EncryptedBlobClient否则抛 InvalidCiphertextException常见错误以为启用了 SSE 就等于文件被加密了SSEServer-Side Encryption只是云厂商帮你用他们的密钥加密存储磁盘你上传的仍是明文——中间链路、日志、代理缓存、甚至开发环境调试输出都可能暴露内容。 Mokker AI AI产品图添加背景

更多文章