我正在为ASP.NET MVC 5编写自定义表单身份验证(不,我不想使用ASP.NET身份)。我正在尝试使用随机生成的哈希密码来哈希,然后使用SHA512哈希salt+password。以下是我写的方法:
private static User SetPassword(User newUser, string password)
{
var rand = RNGCryptoServiceProvider.Create();
var saltBytes = new byte[128];
var passwordBytes = Encoding.UTF8.GetBytes(password);
rand.GetNonZeroBytes(saltBytes);
var passHash = SHA512Managed.Create().ComputeHash(saltBytes.Concat(passwordBytes).ToArray());
var hash = Encoding.UTF8.GetString(passHash);
var salt = Encoding.UTF8.GetString(saltBytes);
newUser.PasswordHash = hash;
newUser.Salt = salt;
return newUser;
}
private static bool ValidatePassword(User user, string passwordTry)
{
var actualPasswordBytes = Encoding.UTF8.GetBytes(user.PasswordHash);
var passwordTryBytes = Encoding.UTF8.GetBytes(passwordTry);
var saltBytes = Encoding.UTF8.GetBytes(user.Salt);
var passwordTryHashBytes = SHA512Managed.Create().ComputeHash(saltBytes.Concat(passwordTryBytes).ToArray());
if (passwordTryHashBytes == actualPasswordBytes)
{
return true;
}
return false;
}
如果我单步执行代码,则注册(SetPassword())方法似乎成功运行。用户的记录使用UTF-8编码的密码哈希和盐进行设置。
如果我单步执行密码验证方法,一切似乎也正常运行。根据密码try。检查用户的记录(salt和hash)。
问题是,当我注册密码然后尝试以该用户身份登录时,密码验证失败。我可能不明白其中一个密码学课程如何工作......任何人都可以解释为什么这不起作用?
答案 0 :(得分:1)
以下代码将始终失败,因为两个对象都没有指向相同的引用:
if (passwordTryHashBytes == actualPasswordBytes)
尝试使用LINQ的SequenceEqual()方法
passwordTryHashBytes.SequenceEqual(actualPasswordBytes)