维护你的.Net代码——谁动了我的组件?
日期:2008-03-29 浏览次数:20591 次
作为一名.NET开发人员,你没日没夜地写代码,你的组件运转在越来越多的机器上。忽然有一天,你发现你写的组件被援用在别人写的项目里,而且最可气的是,那人竟用你的名义在做破坏它人系统的恶事!你忍不住了,大叫一声Oh shit!,然后打开MSDN,看看有什么办法能协助你阻止这场阴谋。
OK,办法找到了,那就是.NET平台提供的Code Access Security有大量承继于CodeAccessPermission的类可以帮你实现不同方面、不同范围的代码安全控制。你所需求做的只是从中挑出最适合的类别加以使用,从而达到保护你的组件的目的。
在经过一番挑选之后,你最终确定了使用StrongNameIdentityPermissionAttribute类。这个类允许你将组件(或类、方法)与某一强名称(通常就是你发布程序时所用的强名称)绑定,这样,只要在客户端程序具有该强名称签名的情况下才能使用你的组件。也就是说,除了你本人编写的客户端代码由于拥有同样的签名而被允许使用组件以外,任何第三方代码都无法通过StrongNameIdentityPermissionAttribute的防护,因此也就无法恶意调用你的组件了:)。听起来真的不错,马上就动手做吧!
为了简便起见,先创建一个很简单的Class Library项目,代码如下:
| 以下为援用的内容: // SecureComp.dll using System; namespace musicland { public class SecureComp { public string Confidential() { return "This is confidential!"; } } } |
如今的这个组件非常可怜,由于任何人都可以写代码来调用它。下面,你就要耍点手段了:):
首先引入System.Security.Permissions命名空间:
| 以下为援用的内容: using System.Security.Permissions; |
然后,在组件级加上StrongNameIdentityPermissionAttribute属性:
| 以下为援用的内容: [assembly: StrongNameIdentityPermissionAttribute(SecurityAction.RequestMinimum, PublicKey="0024000004800000940000000602000000240000525341310004000001000100c11c8497d“+ “283259f23d645358d65812b69136846b03a7d15124545fc3ed27d89d1330cceda4232c7bc6e8a0e7ecd857f8”+ “126d0859e2300237b3cab6f7737a92f585cbf2afb4b475c537703efb96e17e5921ff00c6e022b22f3d772f14”+ “6a3a5c7f6ccad3131b8d0465e6709e5a28cc3ca1c8b610af4162c1a18c0feb8e6993ab1")] namespace musicland … |
留意,这里使用了SecurityAction.RequestMinimum,这申明除非获得StrongNameIdentityPermissionAttribute所表明的资源访问权限(即对SecureComp.dll组件的访问权限,可以把SecureComp.dll看作一样资源),否则CLR不会准许调用方(即客户端代码)访问所请求的资源;此外,在PublicKey属性中加入了你所允许的公匙(Public Key)的十六进制表示(转化成字符串类型)。CRL在运转期间将按照这一段公匙来判断调用方能否合法,除非调用方拥有相应的私匙(Private Key),否则将无法访问。看来,平时一定要倍加保护你的密钥文件,由于密钥文件(特别是private key)的泄露将会成为你无尽恶梦的本源,而延迟签名(delay signing)在这里也就显得格外重要了:)
说到这里,你一定会有个大大的问号:这长长的一串PublicKey是怎样得出来的?难道要我凭空凑出来不成?当然不是。还记得那个Sn.exe工具吗?通过它就可以把PublicKey给提取出来。OK,打开你的命令行,定位到密钥文件所在目录并输入以下内容:
| 以下为援用的
免责声明: 本文仅代表作者个人观点,与爱易网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
|
