ASP.NET:跨应用程序的表单身份验证:匹配密码加密设置

时间:2011-05-03 16:20:43

标签: .net asp.net security asp.net-mvc-3 asp.net-membership

我有两个网站都在自己独立的ASP.NET身份验证数据库中创建用户。下面是两者的Web.configs。我还在两个解决方案中使aspnet_Applications数据库记录相同。当我创建用户时,加密的密码不相同,密码盐也不相同。

当两个系统拥有相同的用户名和密码时,知道如何让两个网站创建相同的密码哈希值吗?

<configuration>
  <system.web>
    <authentication mode="Forms" >
      <!-- The name, protection, path, validationKey, validation, decryptionKey,
           and decryption attributes must be identical across all applications. 
      -->
      <forms loginUrl="~/Account/Login"
             name=".ASPXAUTH" 
             protection="All"  
             path="/" 
             domain="contoso.com" 
             timeout="2880"
             requireSSL="false" 
             cookieless="UseCookies" 
             enableCrossAppRedirects="true" />
    </authentication>
    <!-- Validation and decryption keys must exactly match and cannot
         be set to "AutoGenerate". The validation and decryption
         algorithms must also be the same. -->
    <!-- The validationKey is not wrapped in the solution -->
    <!-- These keys are examples -->
    <machineKey
         validationKey="C50B3C89CB21F4F1422FF158A5B42D0E8DB8CB5CDA1742572A487D940
                        1E3400267682B202B746511891C1BAF47F8D25C07F6C39A104696DB51
                        F17C529AD3CABE" 
         decryptionKey="8A9BE8FD67AF6979E7D20198CFEA50DD3D3799C77AF2B72F" 
         validation="SHA1"
         decryption="Auto" />
  </system.web>
</configuration>

1 个答案:

答案 0 :(得分:4)

SqlMembershipProvider,它听起来像你正在使用,生成一个随机的128位值作为盐。即,它将用户密码作为安全措施进行哈希处理时包含此值。为了确保两个独立系统生成相同的哈希,您需要确保同一用户的PasswordSalt列值相同。 MembershipUser上没有用于设置PasswordSalt的属性。这意味着您必须直接转到数据库进行设置,使用此属性构建自定义MembershipUser,并能够保存它或构建提供此功能的自定义类或方法。