ASP.net:保護你DLL和Code不被別人使用

iDotNetSpace發表於2008-09-04
大家做專案開發一般都是分層的,比如UI層,業務層,資料訪問層。業務層引用資料訪問層的DLL(比如dataaccess.dll),並使用dataaccess.dll中的方法。當專案完成並給客戶用了,可有些心裡BT的客戶這個時候也可以請個稍微懂NET的人來引用你的dataaccess.dll並呼叫其中的方法搞破壞。比如可以直接使用裡面的ChangePwd(string UserName,string Pwd)方法把其他使用者的密碼改了,這個時候就你就……

    好了,該開始說怎麼保護我們的程式碼了:

    首先我們需要把我們的程式集做成強命名的程式集。

    這裡我們在。NET 命令提示中輸入sn -k c:\test.snk 建立一個新的隨機金鑰對並將其儲存在 c:\test.snk 中

    然後新建立類庫ClassLibrary1,裡面只有個類檔案Class1.cs,程式碼如下:

   

 1using System;
2
3
namespace ClassLibrary1
4{
5    public class Class1
6    {
7        public Class1()
8        {
9            //
10            // TODO: 在此處新增建構函式邏輯
11            //
12        }
13
14        public string Insert()
15        {
16            return "ok";
17        }
18    }
19}
20
AssemblyInfo.cs程式碼:
//............其他的就用預設
[assembly: AssemblyKeyFile("c:\\test.snk")]   // 連線上面用強命名工具SN.exe生成的檔案.

接著建立個WindowApplication來呼叫我們的ClassLibrary1,程式碼:
private void button1_Click(object sender, System.EventArgs e)
{
MessageBox.Show(
new ClassLibrary1.Class1().Insert());
}不修改WindowApplication的AssemblyInfo.cs。
在這裡就可以直接執行了,不過大家都看的出來,這樣是能成功呼叫Class1中的方法的。
現在讓我們來修改下Class1.cs,程式碼:
using System;
using System.Security.Permissions;
namespace ClassLibrary1
{
[StrongNameIdentityPermissionAttribute(SecurityAction.LinkDemand, PublicKey
=
"00240000048000009400000006020000002400005253413100040000010001000551684edd1600"+
"8ccbdd337b1cf1490490d97fe0048c5f3629cc4f5104578499eace9b2a94115022edd620def472"+
"8b4f088291cfa77a40659afba611fdafbb7894b93a64049d439936bd0cd8dc0704625aeb735892"+
"e9eb3f910a49a2925af10515d935654d7adac5567ff6d780d23d587de0ff4d271da7b30680fa88"+
"a47a4ba4")]
public class Class1
{
public Class1()
{
//
// TODO: 在此處新增建構函式邏輯
//
        }
public string Insert()
{
return "ok";
}
}
}

    然後再編譯後執行windowapplication呼叫class1中的方法就會出錯。

    這裡的StrongNameIdentityPermissionAttribute是NET提供的CAS(Code access Security)中的1個類,具體可參考MSDN,SecurityAction.LinkDemand 是要求直接呼叫方已被授予了指定的許可權,這裡即windowapplication要授予了許可權才行,如果使用SecurityAction.Demand要求呼叫堆疊中的所有高階呼叫方都已被授予了當前許可權物件所指定的許可權。他們的區別是:如果windowapplication已授權訪問,而還有個windowapplication2(未授權訪問)通過呼叫windowapplication中的button1_Click方法來呼叫class1,這個時候如果使用SecurityAction.LinkDemand就能成功呼叫,而使用SecurityAction.Demand windowapplication2就不能呼叫,windowapplication 在這2種情況下都能呼叫。

    說到這裡大家一定再問PublicKey=後面一串那麼長的字串怎麼來。PublicKey後面的字串是你開始生成的c:\test.snk檔案中儲存的公鑰。那怎麼才能看到這個公鑰了,照樣是用SN.EXE.

    輸入sn -p c:\test.snk c:\publicKey.snk (從 test.snk 中提取公鑰並將其儲存在 publicKey.snk 中)

    再輸入sn -tp c:\publicKey.snk (顯示公鑰資訊)

    上面這個命令就能看到PublicKey後面的字串了,還想什麼啊,把那字串copy下來啊。

    最後大家一定在關心這個時候windowapplication 要怎麼呼叫class1了,其實也簡單,只要把windowapplication 的  AssemblyInfo.cs修改為:

    [assembly: AssemblyKeyFile("c:\\test.snk")]

    到這裡就一切OK了,大家都看到最關鍵的就是test.snk檔案了,所以一定要保護好你自己的test.snk檔案。

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/12639172/viewspace-441829/,如需轉載,請註明出處,否則將追究法律責任。

相關文章