我总是为大多数身份验证子系统存储密码哈希和盐,但我注意到默认的IdentityUser类只有哈希和Security戳记字段,但是没有盐值。
是否已将盐值存放在路旁,SecurityStamp是否在这方面增加了安全性,或者应该扩展用户并添加HashSalt字段?
答案 0 :(得分:4)
Identity将密码哈希和salt存储在数据库的同一字段中。以下是一个很好的解释:https://stackoverflow.com/a/20622428/809357
至于安全印章 - 它与密码或散列无关。这仅表示是否在数据库中更改了有关用户的信息,并将其与auth-cookies中的值进行比较。安全标记作为声明放入auth-cookie。密码哈希从不存在于cookie中。