兄弟，我太懂你这个灾难恢复场景的痛点了——赶时间的时候没法搭完整的MVC服务器，只能靠控制台小工具快速解密数据库里的加密字段对吧？你遇到的核心问题其实是：控制台应用不属于ASP.NET Web应用的范畴，所以默认不会读取app.config里的<system.web><machineKey>配置，反而会自动用注册表生成的密钥，这就导致你没法用生产环境的密钥解密。

下面给你两种解决方案，优先推荐第一种，灵活度拉满，支持运行时输入或者配置文件读取：

方案一：手动在代码中指定MachineKey（最推荐，支持用户输入/配置读取） #

直接通过代码设置MachineKeySection，完全绕开控制台不加载Web配置的问题，既可以让用户临时输入生产密钥，也能从配置文件读取，非常适合灾备场景。

前置准备 #

确保你的控制台项目已经引用了System.Web和System.Configuration两个程序集（你已经导入了system.web.security，其实System.Web就包含它）。

方式A：运行时让用户输入密钥 #

适合临时用一次的场景，不用改配置：

using System;
using System.Web.Configuration;
using System.Web.Security;

class Program
{
    static void Main(string[] args)
    {
        // 提示用户输入生产环境的密钥
        Console.WriteLine("请输入生产环境的decryptionKey:");
        var decryptionKey = Console.ReadLine().Trim();
        Console.WriteLine("请输入生产环境的validationKey:");
        var validationKey = Console.ReadLine().Trim();

        if (string.IsNullOrWhiteSpace(decryptionKey) || string.IsNullOrWhiteSpace(validationKey))
        {
            Console.WriteLine("密钥不能为空！");
            return;
        }

        // 手动配置MachineKey，注意和生产环境的算法保持一致
        var machineKeyConfig = new MachineKeySection
        {
            DecryptionKey = decryptionKey,
            ValidationKey = validationKey,
            Decryption = "AES", // 生产环境用的解密算法，默认是AES
            Validation = "SHA1" // 生产环境用的验证算法，默认是SHA1
        };

        // 把这个配置替换到当前应用的MachineKey设置中
        var exeConfig = ConfigurationManager.OpenExeConfiguration(ConfigurationUserLevel.None);
        exeConfig.Sections["system.web/machineKey"] = machineKeyConfig;
        exeConfig.Save();

        // 现在就可以正常解密了
        byte[] encryptedData = GetEncryptedDataFromDb(); // 替换成你从数据库读取加密字段的逻辑
        byte[] decryptedBytes = MachineKey.Unprotect(encryptedData, "YourPurposeString"); // 这里的Purpose要和加密时完全一致！
        string decryptedResult = System.Text.Encoding.UTF8.GetString(decryptedBytes);

        Console.WriteLine($"解密结果：{decryptedResult}");
    }

    // 模拟从数据库读取加密数据的方法
    static byte[] GetEncryptedDataFromDb()
    {
        // 这里替换成你的实际逻辑，比如从数据库读取字节数组
        return Convert.FromBase64String("你的加密字段Base64值");
    }
}

方式B：从app.config的自定义配置读取 #

如果需要重复使用，不想每次输入，可以在app.config里加自定义的配置项（因为默认的<system.web>控制台不认）：

<configuration>
  <appSettings>
    <add key="MachineKey_DecryptionKey" value="生产环境的decryptionKey"/>
    <add key="MachineKey_ValidationKey" value="生产环境的validationKey"/>
    <add key="MachineKey_DecryptionAlg" value="AES"/>
    <add key="MachineKey_ValidationAlg" value="SHA1"/>
  </appSettings>
</configuration>

然后代码里读取配置：

using System;
using System.Configuration;
using System.Web.Configuration;
using System.Web.Security;

class Program
{
    static void Main(string[] args)
    {
        // 从app.config读取配置
        var decryptionKey = ConfigurationManager.AppSettings["MachineKey_DecryptionKey"];
        var validationKey = ConfigurationManager.AppSettings["MachineKey_ValidationKey"];
        var decryptionAlg = ConfigurationManager.AppSettings["MachineKey_DecryptionAlg"] ?? "AES";
        var validationAlg = ConfigurationManager.AppSettings["MachineKey_ValidationAlg"] ?? "SHA1";

        if (string.IsNullOrWhiteSpace(decryptionKey) || string.IsNullOrWhiteSpace(validationKey))
        {
            Console.WriteLine("请在app.config中正确配置MachineKey相关参数！");
            return;
        }

        // 配置MachineKey
        var machineKeyConfig = new MachineKeySection
        {
            DecryptionKey = decryptionKey,
            ValidationKey = validationKey,
            Decryption = decryptionAlg,
            Validation = validationAlg
        };

        // 应用配置
        var exeConfig = ConfigurationManager.OpenExeConfiguration(ConfigurationUserLevel.None);
        exeConfig.Sections["system.web/machineKey"] = machineKeyConfig;
        exeConfig.Save();

        // 执行解密逻辑
        byte[] encryptedData = GetEncryptedDataFromDb();
        byte[] decryptedBytes = MachineKey.Unprotect(encryptedData, "YourPurposeString");
        string decryptedResult = System.Text.Encoding.UTF8.GetString(decryptedBytes);

        Console.WriteLine($"解密结果：{decryptedResult}");
    }

    static byte[] GetEncryptedDataFromDb()
    {
        return Convert.FromBase64String("你的加密字段Base64值");
    }
}

方案二：强制加载Web.config的machineKey配置（不推荐，较繁琐） #

如果你非要用<system.web><machineKey>的配置方式，需要手动让控制台加载Web.config的配置体系，步骤如下：

1. 在控制台项目根目录创建一个web.config文件，内容如下：

<?xml version="1.0"?>
<configuration>
  <system.web>
    <machineKey decryptionKey="生产环境的decryptionKey" 
                validationKey="生产环境的validationKey" 
                decryption="AES" 
                validation="SHA1"/>
  </system.web>
</configuration>

2. 代码中手动加载这个Web.config：

using System;
using System.Web.Configuration;
using System.Web.Security;

class Program
{
    static void Main(string[] args)
    {
        // 手动加载web.config
        var webConfig = WebConfigurationManager.OpenWebConfiguration(null);
        var machineKeySection = (MachineKeySection)webConfig.GetSection("system.web/machineKey");

        // 将加载的配置应用到当前控制台应用
        var exeConfig = ConfigurationManager.OpenExeConfiguration(ConfigurationUserLevel.None);
        exeConfig.Sections["system.web/machineKey"] = machineKeySection;
        exeConfig.Save();

        // 解密逻辑
        byte[] encryptedData = GetEncryptedDataFromDb();
        byte[] decryptedBytes = MachineKey.Unprotect(encryptedData, "YourPurposeString");
        string decryptedResult = System.Text.Encoding.UTF8.GetString(decryptedBytes);

        Console.WriteLine($"解密结果：{decryptedResult}");
    }

    static byte[] GetEncryptedDataFromDb()
    {
        return Convert.FromBase64String("你的加密字段Base64值");
    }
}

重要注意事项 #

• 算法必须完全匹配：生产环境用的Decryption和Validation算法一定要和你代码里设置的一致，默认是AES和SHA1，如果生产环境改了，必须同步调整。
• Purpose参数不能错：调用MachineKey.Unprotect时的第二个参数（用途标识），要和加密时MachineKey.Protect的第二个参数完全相同，否则解密会直接失败。
• 密钥格式要正确：确保密钥没有多余的空格、换行或者格式错误，直接复制生产环境的完整密钥即可。

内容的提问来源于stack exchange，提问作者LordBoBCUP