我只是想知道如何检查(当用户在密码过期后更改密码时)我如何使用(在WebMatrix中)if分支以确保新密码不等于以前的密码。
我认为除了上次使用的密码之外我不想检查更多的密码历史记录,所以只要我可以检查以前的密码,我认为没问题。
我当然可以查询数据库并检查,但由于密码没有以纯文本格式存储,我知道这不起作用,但我也在这里检查了WebSecurity方法:
http://msdn.microsoft.com/en-us/library/webmatrix.webdata.websecurity(v=vs.111).aspx
并没有找到任何东西。
完成这项工作的最佳方法是什么?
答案 0 :(得分:1)
由于密码未存储在数据库中,因此除非您在用户首次注册时记下密码,并且随后更改密码,否则无法执行此操作。
具有讽刺意味的是,通过存储原始密码(即使是加密状态),实际上会降低应用程序的安全性。
答案 1 :(得分:1)
对于任何感兴趣的人,我确实找到了一个很好的解决方案来解决这个问题,这可以很好地完成工作。
但请记住,这只会检查他们拥有的最后一个密码。
这是我实施的:
首先,当然,在登录页面中,在其他代码和实际登录之后,我有明显的(检查他们的密码是否超过6个月并且需要更改):
if(WebSecurity.GetPasswordChangedDate(username).AddMonths(6) < DateTime.UtcNow)
{
WebSecurity.Logout();
Session["gActionMessage"] = "Your password has expired. Please change your password by visiting \"Login\" then \"Change Password\"";
Session["gActionMessageDisplayed"] = "not";
Response.Redirect("~/");
}
然后,我在“更改密码”页面(实际上是在密码重置令牌的电子邮件验证后重定向的页面,但你得到了这个想法)提出了这个:
if(WebSecurity.Login(email, newPassword, false) && WebSecurity.UserExists(email) && WebSecurity.GetPasswordChangedDate(email).AddMonths(6) < DateTime.UtcNow)
{
WebSecurity.Logout();
errorMessage = "You cannot repeat your last expired password.";
}
这里的if分支进行了三次检查:
首先,它会根据他们输入的新密码有效地检查并记录它们。
其次,它检查用户是否存在(不确定我是否需要这个,但无论如何)。
最后,检查以确保他们的密码更改日期超过6个月(因为相同的页面用于“忘记密码”的东西,所以这只是确保在以这种方式犯错之前满足正确的情况)
因此,简而言之,如果他们的新密码仍然足以登录(当然,在实际更改之前),那么它是重复的,然后将它们记录下来并向它们抛出错误消息而不是更改密码。如果登录不够,那么它不能是重复的密码,并且(只要满足任何其他要求)密码就会被更改。
希望这有助于将来在密码更改时可能需要使用WebMatrix的非重复密码的任何人!
答案 2 :(得分:0)
引用System.Web.Helpers程序集
创建一个名为“UserPasswordHistory”的自定义表,其中包含“密码”列中存储的散列密码,并在“PasswordVersion”列中添加版本号,每次注册用户或更新密码时都会插入一行对于给定的用户, 以下代码有效。
var userProfile = db.UserProfiles.First(x => x.UserId == userId);
var passwords = (userProfile.UserPasswordHistory
.OrderByDescending(x => x.PasswordVersion)
.Take(_configuration.PasswordCountBeforeReuseAllowed))
.Select(x => x.Password);
return passwords.Any(previousPassword => Crypto.VerifyHashedPassword(previousPassword, password));
要回答具体要求的问题_configuration.PasswordCountBeforeReuseAllowed将被设置为1