無視app.config，用序列化加密、解密反序列化自行存取程序設置

    新浪微博爬蟲（http://code.google.com/p/sinawler/）終於基本完成了。

    做下來一個，覺得其實做這種基於API的APP開發，重要的還是想法。API就這些，都擺在這了，就看你能想到用它們來幹嘛。

    這裏想說一下自己實現的程序設置信息的讀取。

    ASP.NET程序有個web.config，是個XML文件，數據庫連接字符串什麼的都往裏面放，配合.NET中的System.Configuration，可以很方便地對裏面的數據進行存取。基於窗口的Winform程序，也有個相應的app.config，道理一樣，使用一樣。

    然而，這裏有個問題了：ASP.NET程序是網站，web.config放在服務器上，一般不容易獲取，所以裏面保存的數據相對安全；可是app.config是要跟隨應用程序發佈給客戶終端的，客戶隨時都可以查看、修改裏面的數據，這樣一來，數據庫的登錄帳號、密碼什麼的一目瞭然，其它的一些配置信息，也很容易被篡改，造成程序運行故障。因此，就想到拋棄app.config，何不自己實現配置文件並且將其加密呢？

    思路很簡單：用序列化保存，保存之前將序列化後得到的字節流加密；用反序列化讀取，反序列化之前將讀取的字節流解密。

    具體實現：

 

    一、SettingItems類，用來保存各個配置信息項。

[Serializable] public class SettingItems { private string _app_key = {app_key}; //不可設置 private string _secret_key = {secret_key}; //不可設置 private string _database_type = "SQL Server"; //數據庫類型默認爲SQL Server private string _db_server = "localhost"; //數據庫服務器 private string _db_username = "sa"; //數據庫用戶名 private string _db_pwd = "sa"; //數據庫密碼 private string _db_name = "Sinawler"; //數據庫名稱 private int _queue_length = 5000; //用戶隊列長度 public string AppKey { get { return _app_key; } } public string SecretKey { get { return _secret_key; } } public string DBType { get { return _database_type; } set { _database_type = value; } } public string DBServer { get { return _db_server; } set { _db_server = value; } } public string DBUserName { get { return _db_username; } set { _db_username = value; } } public string DBPwd { get { return _db_pwd; } set { _db_pwd = value; } } public string DBName { get { return _db_name; } set { _db_name = value; } } public int QueueLength { get { return _queue_length; } set { _queue_length = value; } } }

    當然，可以根據需要，任意設定。但是注意，前面一定要有[Serializable]，因爲這個類是要被序列化、反序列化操作的。

 

    二、AppSettings類，以實現對SettingItems類實例的保存（序列化加密）和加載（解密序列化）

 

class AppSettings { public static SettingItems Load () { SettingItems settings = new SettingItems(); if (!File.Exists(Application.StartupPath + "//config.ini")) return null; FileStream fs = new FileStream( Application.StartupPath + "//config.ini", FileMode.Open, FileAccess.Read ); byte[] arrByte = new byte[1024]; fs.Read( arrByte, 0, 1024 ); fs.Close(); int nLength = PubHelper.byteToInt(arrByte); byte[] arrEncryptByte = new byte[nLength]; for (int i = 0; i < nLength; i++) arrEncryptByte[i] = arrByte[i + 4]; settings = (SettingItems)(Serialize.DecryptToObject(arrEncryptByte)); return settings; } public static void Save ( SettingItems settings ) { FileStream fs = new FileStream( Application.StartupPath + "//config.ini", FileMode.OpenOrCreate ); byte[] arrEncryptByte = Serialize.EncryptToBytes(settings); byte[] arrLength = PubHelper.intToByte(arrEncryptByte.Length); //將長度（整數）保存在4個元素的字節數組中 fs.Write(arrLength, 0, arrLength.Length); fs.Write(arrEncryptByte, 0, arrEncryptByte.Length); fs.Close(); } //獲取默認設置 public static SettingItems LoadDefault () { return new SettingItems(); } }

    這裏用到了加密解密，一會兒再說。這裏要說的是一個困擾了我很久的問題。

    之前用StreamWriter和StreamReader操作，總是無法解密。後來發現，這兩個類操作的是字符串，這會導致字節流中的一些字節無法解析出來，從而導致錯誤，最終導致加密解密的失敗。後來，改成了FileStream操作。

還有一個問題，也需要注意。

    在序列化時，byte[] arrEncryptByte = Serialize.EncryptToBytes(settings);這樣一句，得到的字節數組長度沒到1024，大概有二三百。但是在反序列化時，由於預先不知道字節流的長度，所以只能用byte[] arrByte = new byte[1024];來定義一個足夠大的。這樣的結果，也導致讀取出來的結果與之前保存的不一樣（多了好多爲0的字節），解密會失敗。因此，最終在保存時，先用4個字節保存一下字節流的長度，讀取時先讀取長度，再根據長度將指定長度的字節流複製出來，這樣才能得到之前保存的真正密文。

    當然，如果數據量很大（一般配置信息不會有多大吧？），1024這個值可能不夠。

 

    三、Serialize類，序列化加密、解密反序列化

 

public class Serialize { // 用於初始化對稱密鑰 static private String encryptKey = {password}; static private byte[] key = Encoding.ASCII.GetBytes(encryptKey.Substring(0, 8)); static private byte[] IV = Encoding.ASCII.GetBytes(encryptKey); /// <summary> /// 將對象加密到字節數據 /// </summary> /// <param name="obj">要加密的對象</param> /// <returns>處理後生成的字節數組</returns> public static byte[] EncryptToBytes ( object obj ) { try { DESCryptoServiceProvider des = new DESCryptoServiceProvider(); MemoryStream msPlaneText = new MemoryStream(); BinaryFormatter serializer = new BinaryFormatter(); serializer.Serialize( msPlaneText, obj ); byte[] inputByteArray = msPlaneText.ToArray(); msPlaneText.Close(); MemoryStream msEncrypt = new MemoryStream(); CryptoStream cs = new CryptoStream( msEncrypt, des.CreateEncryptor(key,IV), CryptoStreamMode.Write ); cs.Write( inputByteArray, 0, inputByteArray.Length ); cs.FlushFinalBlock(); byte[] byteEncrypt = msEncrypt.ToArray(); cs.Close(); return byteEncrypt; } catch (System.Exception error) { return null; } } /// <summary> /// 將字節數組進行解密還原成對象 /// </summary> /// <param name="ary">要處理的字節數組</param> /// <returns>被還原的對象</returns> public static object DecryptToObject ( byte[] ary ) { try { DESCryptoServiceProvider des = new DESCryptoServiceProvider(); MemoryStream ms = new MemoryStream(); CryptoStream cs = new CryptoStream( ms, des.CreateDecryptor(key,IV), CryptoStreamMode.Write ); cs.Write( ary, 0, ary.Length ); cs.FlushFinalBlock(); cs.Close(); byte[] byteDecrypt = ms.ToArray(); MemoryStream msDecrypt = new MemoryStream( byteDecrypt ); BinaryFormatter serializer = new BinaryFormatter(); Object obj = serializer.Deserialize( msDecrypt ); msDecrypt.Close(); return obj; } catch (System.Exception error) { return null; } } }

    這裏要說的是密碼（password）要固定，因爲加密解密都用它。另外這裏用的DES，它的key需要時8個字節。

    當然，可以選用其它的對稱加密算法。

 

    四、最後是兩個將整數與4個元素的字節數組互相轉換的函數：

//整數到字節數組的轉換  
        

static public byte[] intToByte(int number) { int temp = number; byte[] b = new byte[4]; for (int i = b.Length - 1; i > -1; i--) { b[i] = Convert.ToByte(temp & 0xff); //將最高位保存在最低位 temp = temp >> 8; //向右移8位 } return b; } //字節數組到整數的轉換 static public int byteToInt(byte[] b) { int s = 0; for (int i = 0; i < 3; i++) { if (b[i] >= 0) s = s + b[i]; else s = s + 256 + b[i]; s = s * 256; } if (b[3] >= 0) //最後一個之所以不乘，是因爲可能會溢出 s = s + b[3]; else s = s + 256 + b[3]; return s; }   

    五、使用舉例

    保存：

SettingItems settings=new SettingItems();

settings.DBName="hello";

//設置其它值

……

AppSettings.Save(settings);

 

    加載：

SettingItems settings=AppSettings.Load();

if(settings==null)  settings=AppSettings.LoadDefault();

txtDBName.Text=settings.DBName;

//獲取其它值

……