如何保护 .NET 应用程序中的 API 密钥

Question

我的应用程序访问了许多 Web 服务，例如 Twitter 和 Flickr。它使用来自这些服务的 API 密钥，我想在我的二进制文件中混淆它们。 （我并不真正担心盗版或其他任何事情，我只需要对这些密钥保密。）

最好的方法是什么？

如果我将它们存储为 const SecureString ，那么让他们从记忆中消失？ MSDN 描述说文本“当不再需要时从计算机内存中删除”，但是 const 不是总是在内存中吗？

Dotfuscator 会在我的程序集中模糊它吗？ （假设我可以让它工作。）

Answer 1

我最近不得不处理这种情况。问题不在于确保某人无法使用十六进制编辑器轻松找到它，而在于它通过线路发送到各种 API 时。无论如何，只需运行 fiddler 并观察请求就会显示密钥。一些 API 具有私钥/公钥的优势，这会有所帮助。

我能想到的唯一解决方案是创建一个我自己的外部托管的 Web 服务，充当客户端和目标 API 之间的代理。这使我能够为每个终端生成可以激活/停用的单独密钥，并且大部分敏感数据存储在我的远程代理应用程序中。

祝你好运！

~“别忘了喝你的阿华田”

Answer 2

匿名是正确的，没有办法完全保护数据；总有人能得到它。

但你想让事情变得尽可能困难。这意味着不执行易于阅读的操作：

• 不存储在注册表项（例如 TwitterAPIKey REG_SZ）中，
• 不存储在文本文件（例如 twitterkey.txt）中，或在 ini 文件中，
• 不存储在应用程序的 .config 文件
• 中，不以纯文本形式存储在二进制文件中，
• 不以未加密的形式存储在二进制文件中

。这将使人们必须了解调试器和（可能）汇编代码。

您已经大大减少了攻击面。

只需遵循前三个建议，您就会顺利上路。

Answer 3

也许您可以要求您的用户使用他们自己的 api 密钥。
他们可以将自己注册到 api，然后在应用程序的设置中引用他们的密钥