在服务器上安全地加密/解密appsettings.json文件

如果您不信任服务器 - 您就无法保护存储在该服务器内部的“秘密”。

解释：

无论您发明了什么“安全”（=不安全）方案 - 当应用程序启动时，它必须能够将“秘密”解密为某些“可用”形式。

这意味着所有“解密”所需的“密钥”（证书等）都必须存在于此服务器上，并且对于应用程序是可访问的（否则应用程序无法启动）。

这意味着一些坏人可以访问服务器和应用程序，也可以访问其中的所有“密钥”，并“解密”您的秘密。可能是通过复制文件，可能是通过反编译您的应用程序，可能是通过转储您的应用程序内存 - 但它可以做到。

没有绝对的保护。

看起来你对“方法”不感兴趣，而是对ASP.NET Core支持的推荐方法感兴趣。虽然其他答案中提到Azure KeyVault作为敏感信息的良好存储，但它并不是存储方式，而是实际存储。 ASP.NET Core支持可重写配置的概念。也就是说，可以在配置系统中注册多个配置提供程序，并且它们注册的顺序很重要。每个注册的提供程序都会覆盖先前提供程序的设置-当然，只有它有的设置才会被覆盖。 换句话说，如果您已经注册了标准的JSON配置提供程序，然后再假设一个数据库配置提供程序，那么这些提供程序都具有的设置将获取后定义的提供程序（即数据库提供程序）定义的值。 因此，在您的情况下，这是我建议做的：
1. 将所有默认配置提供程序注册为原样。 2. 在最后注册Azure Key Vault（或类似的基于秘密存储的提供程序）配置提供程序。 3. 使用证书身份验证与Key Vault进行身份验证并读取敏感设置。
虽然这不是与您当前流程的一对一映射，但它符合ASP.NET Core原则。
您可以在此处阅读有关ASP.NET配置的更多信息：https://learn.microsoft.com/en-us/aspnet/core/fundamentals/configuration/index?tabs=basicconfiguration 在这里，您可以阅读有关Azure KeyVault配置提供程序的信息：https://learn.microsoft.com/en-us/aspnet/core/security/key-vault-configuration?tabs=aspnetcore2x 如果基于证书的身份验证对您不可行，请考虑将用于连接到Azure Key Vault服务的ClientId和ClientSecret存储在环境变量中，并使用适当的配置提供程序（AddEnvironmentVariables()扩展方法将完成此操作）来访问它们。
这种设置将非常安全。祝你好运！

我正在将评论转换为答案 :)
即使您没有在Azure上运行，我仍建议使用Azure Key Vault来存储您的机密。首先，它非常便宜（~ $ 0.0159 / 10,000次操作），其次它可以从任何地方访问，甚至在Azure之外。此外，Azure Key Vault中的机密可以进行版本控制，这是一个很好的功能，支持每个环境的多个版本的机密（仅适用于预生产环境，因为生产环境应该有自己的密钥库）。Key Vault NuGet包具有在.NET Core内检索和添加机密的操作。这里是文档链接。
您可以拥有一个内存缓存，因此只在应用程序启动时（或者当缓存过期时）才进行REST调用（或Key Vault包方法调用）到Key Vault，从而防止任何进一步的延迟。第三，这是Microsoft推荐的方法。
希望这有所帮助。

如果未经授权的人获得了对服务器的访问权限，那么窃取机密信息 - 比如数据库连接字符串，只是问题的一小部分（@Dmitry's answer）。
由于您希望更好地控制机密数据或配置，因此略微偏离通常的基于appsettings.json的方法是可以接受的。
您可以使用服务器证书进行非对称加密来处理机密信息，将其存储在单独的文件中（它可以是另一个.json文件），然后在启动/每个Web请求时读取文件并解密机密信息。这样，机密信息几乎与服务器证书/私钥一样安全。
另一种选择是对机密信息进行对称加密，并在启动时将密码提供给Web应用程序以便它可以解密机密信息。当托管Web应用程序的进程重新启动时，您必须再次提供密码（您可以使用另一台机器定期提供密码等方式）。
另请参见ASP.NET Core中的数据保护，数据保护示例。
有时，长而晦涩的密码或对本来易于人类理解的密码进行简单的混淆就足够了。也就是说，只是防范窃听。比如说，坐在管理员旁边的人将无法读取并记忆一串看似随机的字符。