ASP.NET 中自动生成机器密钥

Question

默认情况下，机器密钥设置为自动生成和每个应用程序（AutoGenerate、IsolateApps）。 MSDN 指出解密密钥和验证密钥基于 Web 应用程序 ID。我在 IIS 7 服务器上托管两个 ASP.NET MVC 2 站点，但发现机器密钥是相同的。我通过使用反射查看 ValidationKeyInternal 和 DecryptionKeyInternal 属性来验证这一点。我还通过在一个站点上生成防伪造令牌 cookie 并将其传递到另一个站点来测试它，并且可以读取该 cookie。

经过反复试验，我发现如果应用程序池身份发生变化，密钥也会发生变化。这两个站点具有相同的密钥，因为它们在网络服务凭据下运行。一旦我更改一个站点的应用程序池标识，它们就开始具有不同的验证/加密密钥。

但是，在我将两个站点部署到另一台服务器后，即使在更改应用程序池标识后，我也始终获得相同的计算机密钥。两台服务器的硬件和软件配置相同。

我想知道在 AutoGenerate,IsolateApps 设置下如何生成机器密钥的实际逻辑是否有参考。在网络上，有很多文章讨论在网络场场景中设置相同的计算机密钥。但我却遇到了相反的问题。每个 Web 应用程序自动密钥生成似乎无法正常工作。以前有人遇到过同样的问题吗？

Answer 1

您是否有可能覆盖 IIS 设置的 web.config 设置？这可能是其中的一个因素，就好像您告诉服务器使用特定的密钥一样，他们可能会这样做。