我正在使用默认的asp.net mvc 4会员系统。用户以纯文本形式通过ASP.NET Web API发送用户名和密码。
所以我有他的普通密码,如何将其与存储的哈希密码进行比较?
是否有一个函数需要一个字符串并将其与哈希值进行比较?
答案 0 :(得分:6)
您必须确保正确设置了web.config才能使用成员资格。 http://msdn.microsoft.com/en-us/library/6e9y4s5t%28v=vs.100%29.aspx
另外,我还要确保在web.config中创建一个MachineKey。 http://msdn.microsoft.com/en-us/library/ff649308.aspx
您将在控制器中放置的代码类似于:
[HttpPost]
public ActionResult Login(AuthenticationModel model, string returnUrl)
{
if (ModelState.IsValid)
{
if (Membership.ValidateUser(model.Username, model.Password)) {
FormsAuthentication.SetAuthCookie(model.UserName, model.RememberMe);
if (Url.IsLocalUrl(returnUrl) && returnUrl.Length > 1 && returnUrl.StartsWith("/")
&& !returnUrl.StartsWith("//") && !returnUrl.StartsWith("/\\"))
{
return Redirect(returnUrl);
}
else
{
return RedirectToAction("Index", "Home");
}
}
}
}
您的模型类似于:
public class AuthenticationModel
{
[Required]
[Display(Name = "Username")]
public string UserName { get; set; }
[Required]
[DataType(DataType.Password)]
[Display(Name = "Password")]
public string Password { get; set; }
[Display(Name = "Remember Me?")]
public bool RememberMe { get; set; }
}
答案 1 :(得分:0)
我有一个类似的请求,我完成的工作是使用64字节字段存储密码,然后生成了32字节的salt和32字节的哈希,然后从DB中提取了salt并使用该salt编码了相同的用户名并且如果结果对象等于DB中的对象
这是我使用的方法
public static bool IsPasswordValid(string plainPassword, byte[] data)
{
var prf = KeyDerivationPrf.HMACSHA512;
var saltBytes = new byte[saltSize];
var hashBytes = new byte[hashSize];
Array.Copy(data, 0, saltBytes, 0, saltSize);
Array.Copy(data, saltSize, hashBytes, 0, hashSize);
var verificationHashBytes = KeyDerivation.Pbkdf2(plainPassword, saltBytes, prf, iterationCount, hashSize);
return hashBytes.SequenceEqual(verificationHashBytes);
}