问题描述
我正在研究需要连接到数据库的Visual Studio扩展包(VSIX)。
在存储敏感配置时,我还想在安全方面采取合理的预防措施。
目前,我正在为我的插件使用标准的属性网格选项页面,如introductory documentation(针对Visual Studio扩展)所述。
public class MyPackageOptions : DialogPage
{
[Category("Repository")]
[displayName("Server")]
[Description("Database host name or IP address")]
public String Server { get; set; }
[Category("Repository")]
[displayName("Port")]
[Description("Database listen port")]
public UInt16 Port { get; set; } = 3306;
[Category("Repository")]
[Description("Database name")]
public String Database { get; set; } = "default_database_name";
[Category("Repository")]
[displayName("User ID")]
[Description("Database login user name")]
public String UserId { get; set; }
// BUG PasswordPropertyTextAttribute doesn't seem to be having the desired effect
[Category("Repository")]
[Description("Database login password")]
[PasswordPropertyText]
public String Password { get; set; }
}
Category,displayName和Description属性对属性网格显示有预期的效果。但是PasswordPropertyTextAttribute似乎没有任何作用。还有其他方法可以使文本屏蔽与基于属性网格的基本选项页面一起使用吗?还是我需要制作一个自定义选项UI表单以获取文本遮罩?
第二,如何确保密码字段值以合理安全的方式保留在磁盘上,类似于需要存储用户凭据的其他软件?对于我的需求,我认为使用当前用户帐户的Windows DPAPI保护将是足够的保护,但是我不确定如何使用它来保护MyPackageOptions.Password属性。
解决方法
为使PasswordPropertyTextAttribute有效,必须通过将其Password属性设置为true来“打开”它。如果使用默认构造函数,则Password属性为false,并且该属性无效。
最简单的方法是使用行[PasswordPropertyText(true)]而不是[PasswordPropertyText]将属性添加到属性中,以调用适当的非默认构造函数。
可以通过覆盖DialogPage中所述的LoadSettingsFromStorage SaveSettingsToStorage,LoadSettingsFromXml,SaveSettingsToXml和this answer方法来加密持久选项值
实施自定义TypeConverter来处理加密/解密(类似于this approach)是没有用的,因为使用相同的TypeConverter来转换{ {1}}以及将值持久保存在Visual Studio注册表或XML导出中时。因此,如果转换器可以处理PropertyGrid中的纯文本输入,则在将对象保存到存储或导出到XML时,它还将生成纯文本字符串。