在我的网站上,为了速度和减少对数据库的请求数量,一些敏感信息(用户加密密钥)将缓存在Redis中。
但是以明文形式将此类信息存储在缓存中是不安全的,因此在存储到缓存中之前,将使用存储在服务器上的单个加密密钥对该信息进行加密。
加密算法将非常简单,使用MemoryStream将加密密钥加载到内存中,以供进一步使用。
而问题是,这样做是否可行,会不会极大地影响性能,因为本质上用户拥有一个32字节长的加密密钥,而这个大小的密钥对内存几乎没有影响,而且即使有一百万用户,那么这仍然对性能几乎没有影响。而且即使考虑到密钥的生命周期为 30 分钟,并且在需要时会存储在缓存中,这仍然不算什么,事实上,MemoryStream 可以放心使用。
但是查看 MemoryStream 的文档,有一个重要的说明:
该类型实现了 IDisposable 接口,但实际上没有任何资源可供处置。这意味着不需要通过直接调用 Dispose() 或使用构造语言(例如 using(在 C# 中)或 using(在 Visual Basic 中))来处理它。
当使用MemoryStream时,Dispose()调用根本没有用,内存永远不会被释放,并且会占用内存,这是什么意思?
现在我再问一个问题:是否值得使用 MemoryStream 来临时存储密钥,或者我们可以考虑其他选择吗?
MemoryStream本质上是 shell 中的常规字节数组,继承自System.IO.Stream. 正如评论中已经说过的,那里没有非托管资源,该方法Dispose只是继承并且不执行任何操作,内存以通常的方式释放,就像显式使用字节数组时一样。但有一些事情值得关注。
由于内部是一个常规的字节线性数组,因此它与常规数组一样受到对象最大大小的限制。
此外,如果您没有
MemoryStream明确设置起始大小,那么它将创建一些相对较小的大小,并且当添加到流中的字节数多于分配的字节数时,该数组将通过创建一个新数组来自动增加大小更大的大小并覆盖前一个数据,这也是值得考虑的,以避免在内存中积累相当大的大小和数量的多余垃圾。