我在我的应用程序中使用PBKDF2来存储用户密码。在我的“用户”表格中,我有一个Salt和Password列,其确定如下:
// Hash the users password using PBKDF2
var DeriveBytes = new Rfc2898DeriveBytes(_Password, 20);
byte[] _Salt = DeriveBytes.Salt;
byte[] _Key = DeriveBytes.GetBytes(20); // _Key is put into the Password column
在我的登录页面上,我需要检索此盐和密码。因为他们是byte []数组,所以我将它们存储在我的表中varbinary(MAX)。现在我需要检索它们以与用户输入的密码进行比较。我如何使用SqlDataReader执行此操作?目前我有这个:
cn.Open();
SqlCommand Command = new SqlCommand("SELECT Salt, Password FROM Users WHERE Email = @Email", cn);
Command.Parameters.Add("@Email", SqlDbType.NVarChar).Value = _Email;
SqlDataReader Reader = Command.ExecuteReader(CommandBehavior.CloseConnection);
Reader.Read();
if (Reader.HasRows)
{
// This user exists, check their password with the one entered
byte[] _Salt = Reader.GetBytes(0, 0, _Salt, 0, _Salt.Length);
}
else
{
// No user with this email exists
Feedback.Text = "No user with this email exists, check for typos or register";
}
但我知道这是错误的事实。 Reader中的其他方法只有一个参数是要检索的列的索引。
答案 0 :(得分:8)
直接将它投射到byte[]到目前为止对我有用。
using (SqlConnection c = new SqlConnection("FOO"))
{
c.Open();
String sql = @"
SELECT Salt, Password
FROM Users
WHERE (Email = @Email)";
using (SqlCommand cmd = new SqlCommand(sql, c))
{
cmd.Parameters.Add("@Email", SqlDbType.NVarChar).Value = _Email;
using (SqlDataReader d = cmd.ExecuteReader())
{
if (d.Read())
{
byte[] salt = (byte[])d["Salt"];
byte[] pass = (byte[])d["Password"];
//Do stuff with salt and pass
}
else
{
// NO User with email exists
}
}
}
}
答案 1 :(得分:2)
我不确定你为什么认为你写的代码是错的(请解释)。但专门针对错误:
请注意,GetBytes返回long而非字节数组。
所以,你应该使用:
Reader.GetBytes(0, 0, _Salt, 0, _Salt.Length);
或
long bytesRead = Reader.GetBytes(0, 0, _Salt, 0, _Salt.Length);