必须在IFormFile流读取完成后、写入S3前加密,使用AesGcm或AesCryptoServiceProvider,密钥和nonce须安全存储于配置或Key Vault,S3 ContentLength需设为加密后真实长度。ASP.NET Core 中上传文件后立即加密再传 S3直接在内存中加密,避免明文临时落盘。关键不是"能不能加",而是"在哪一环加"------必须在 IFormFile 流读取完成后、写入 S3 前完成加密,否则等于没加。用 AesGcm(.NET 5+)或 AesCryptoServiceProvider(兼容旧版),别用已弃用的 RijndaelManaged密钥和 nonce 必须随文件一起安全传递(比如存进数据库元数据),但 绝不能硬编码在代码里,推荐从 IConfiguration 读取或使用 Azure Key VaultS3 SDK 的 PutObjectRequest 接收的是 Stream,所以把加密后的 MemoryStream 直接传进去即可,无需保存本地文件注意:加密流长度 ≠ 原始流长度(GCM 会加认证标签),S3 的 ContentLength 必须设为加密后的真实字节数,否则上传失败或校验出错Azure Blob Storage 上传前启用客户端加密(非服务端加密)Azure SDK 支持客户端加密,但默认不开启;它和 S3 的"服务端加密(SSE)"不是一回事------这里说的是你控制密钥、在上传前就加密,Blob 存的永远是密文。必须用 Azure.Storage.Blobs.Specialized.EncryptedBlobClient,普通 BlobClient 不行密钥需封装为 KeyEncryptionKey 实现类(如 LocalKeyEncryptionKey),且 KeyWrapAlgorithm 推荐 "A256KW"加密只对块 Blob 有效,Page Blob 和 Append Blob 不支持客户端加密上传时若用 UploadAsync(Stream, ...),传入的必须是原始明文流;SDK 内部自动加密,不需要你手动调 Encrypt()解密时也必须用同一个 EncryptedBlobClient,否则抛 InvalidCiphertextException常见错误:以为启用了 SSE 就等于文件被加密了SSE(Server-Side Encryption)只是云厂商帮你用他们的密钥加密存储磁盘,你上传的仍是明文------中间链路、日志、代理缓存、甚至开发环境调试输出都可能暴露内容。 Mokker AI AI产品图添加背景
相关推荐
曲幽19 分钟前
刚部署的 LibreTranslate 频频翻车?我掏出了 20 年前的 StarDict 词典,用 FastAPI 搭了个本地词典翻译 API渣波27 分钟前
拒绝 SQL 焦虑!手把手带你用 NestJS + Prisma + DTO 写出“防弹”级后端代码荣码37 分钟前
用Streamlit给AI应用套个界面,10行代码出Web页面兵慌码乱10 小时前
基于Python+PyQt5+SQLite的药房管理系统实现:事务一致性与界面解耦全流程解析金銀銅鐵12 小时前
[Python] 体验用欧几里得算法计算最大公约数的过程FreakStudio15 小时前
W55MH32L-EVB 上手测评:硬件 TCP/IP 加持的以太网单片机,MicroPython 零门槛开发用户03321266636717 小时前
使用 Python 从零创建 Word 文档Csvn21 小时前
Python 两大经典坑点 —— 可变默认参数 & 闭包延迟绑定曲幽1 天前
别再用网页翻译看源码了!你的私人翻译神器LibreTranslate,部署避坑指南来了用户556918817531 天前
#从脚本到独立程序:Python + Playwright 批量抓取的完整踩坑记录