作为资深开发者，我深知安全偷懒的代价——凌晨被生产环境漏洞警报惊醒、用户数据泄露或收到勒索邮件。本文将用真实案例和久经考验的策略，手把手教你加固 .NET 9 应用。

1. 认清安全威胁全景

在动手实施前，先了解主要威胁：

• 注入攻击（SQL、XSS 等）
• 身份验证漏洞
• 敏感数据暴露
• 安全配置错误
• 不安全反序列化
• 日志监控缺失
  .NET 9 虽自带安全改进，但若忽视最佳实践，漏洞仍会趁虚而入。

2. 加固身份认证与授权

使用 ASP.NET Core Identity + 多因素认证（MFA）

仅靠密码很脆弱，多因素认证（MFA） 能提供额外保护层：

services.AddIdentity<ApplicationUser, IdentityRole>(options => {
    options.Password.RequireDigit = true;        // 强制包含数字
    options.Password.RequiredLength = 8;        // 最小长度8位
    options.Password.RequireNonAlphanumeric = true; // 必须含特殊字符
    options.SignIn.RequireConfirmedEmail = true;   // 需验证邮箱
})
.AddEntityFrameworkStores<ApplicationDbContext>()
.AddDefaultTokenProviders();

建议集成 TOTP（基于时间的一次性密码），如 Google Authenticator。

基于角色与策略的精细化授权

避免硬编码角色检查，改用策略控制权限：

services.AddAuthorization(options => {
    options.AddPolicy("AdminOnly", policy => policy.RequireRole("Admin"));  // 仅管理员
    options.AddPolicy("CanEditContent", policy => policy.RequireClaim("Permission", "Edit")); // 需编辑权限
});

控制器中应用策略：

[Authorize(Policy = "AdminOnly")]
public IActionResult AdminDashboard() {
    return View();
}

3. 防御 SQL 注入

永远不要拼接用户输入到 SQL 语句！ 使用参数化查询或 Entity Framework 等 ORM 工具。

❌ 错误示例：

var query = $"SELECT * FROM Users WHERE Username = '{username}'";

✅ 正确做法：

var user = dbContext.Users.FirstOrDefault(u => u.Username == username);

若需原生 SQL，使用参数化：

var users = dbContext.Users.FromSqlRaw("SELECT * FROM Users WHERE Username = @p0", username).ToList();

4. API 端点安全加固

安全使用 JWT 令牌

确保 JWT 正确签名并拒绝过期令牌：

services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
    .AddJwtBearer(options => {
        options.RequireHttpsMetadata = true;  // 强制 HTTPS
        options.SaveToken = true;
        options.TokenValidationParameters = new TokenValidationParameters {
            ValidateIssuerSigningKey = true,
            IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(Configuration["Jwt:Key"])), // 签名密钥
            ValidateIssuer = false,
            ValidateAudience = false,
            ValidateLifetime = true,  // 验证有效期
        };
    });

实施速率限制

防御暴力破解和 API 滥用：

services.AddRateLimiter(options => {
    options.AddPolicy("default", policy => policy.WithLimit(100, TimeSpan.FromMinutes(1))); // 每分钟最多100次请求
});

5. 防御 XSS 与 CSRF

启用内容安全策略（CSP）

禁止内联脚本并限制资源来源：

app.Use(async (context, next) => {
    context.Response.Headers.Add("Content-Security-Policy", "default-src 'self'; script-src 'self'"); // 仅允许同源脚本
    await next();
});

CSRF 防护令牌

表单提交必须包含防伪令牌：

[ValidateAntiForgeryToken]
public IActionResult SubmitForm(Model model) {
    // 处理表单
}

6. 敏感数据加密

安全存储密钥

永远不要硬编码密钥！ 使用 Azure Key Vault、AWS Secrets Manager 或环境变量：

var secret = Configuration["SecretKey"];  // 从安全配置读取

强加密机制

.NET 9 内置加密工具：

var key = Convert.FromBase64String(Configuration["EncryptionKey"]); // 从配置获取密钥
using var aes = Aes.Create();
aes.Key = key;
aes.GenerateIV();  // 生成初始化向量

7. 日志与监控

结构化日志（Serilog）

Log.Logger = new LoggerConfiguration()
    .WriteTo.Console()  // 输出到控制台
    .WriteTo.File("logs/log.txt", rollingInterval: RollingInterval.Day) // 按天滚动日志
    .CreateLogger();

安全审计日志

记录登录失败和权限变更：

_logger.LogWarning("Failed login attempt for user {Username}", username); // 结构化日志

8. 定期安全更新

• 更新 NuGet 包：定期运行 dotnet list package --outdated
• 漏洞扫描：使用 dotnet security audit 等工具
• 启用自动安全更新：Docker 容器和依赖项

安全不是加个库就完事了，而是需要警惕心、最佳实践和持续学习的系统工程。在 .NET 9 应用中实施这些策略后，你保护的不仅是代码，更是用户、数据和声誉。

作为资深开发者，我亲眼见证过安全加固如何避免灾难。请严肃对待安全，持续改进！

下一步行动

1. 在你的项目中实践这些步骤
2. 对现有应用进行安全审查
3. 持续关注新威胁和 .NET 安全更新