如何在Asp.Net identity 2中手动检查密码?

时间:2015-12-23 21:14:21

标签: asp.net hash asp.net-identity asp.net-identity-2 password-encryption

这实际上可能更像是一个概念性问题。在Asp.Net Identity中,PasswordHasher每次为同一个字符串生成不同的哈希:

new PasswordHasher.HashPassword("myString");

现在,如果由于某种原因我需要手动将用户的输入与数据库中保存的密码进行比较,那么当我散列用户输入的密码时,我很可能会得到一个不同的字符串,而不是存储在数据库中的密码。

有人可以向我解释一下吗?不应该在相同的哈希中散列相同的字符串,如果没有,身份本身如何实现两个不同的哈希实际上是相同的?

2 个答案:

答案 0 :(得分:12)

PasswordHasher每次生成不同的哈希值,因为它使用salting技术。此技术可保护散列密码免受字典攻击。顺便说一下,您可以使用以下代码手动验证密码:

if(PasswordHasher.VerifyHashedPassword("hashedPassword", "password") 
    != PasswordVerificationResult.Failed)
{
    // password is correct 
}

答案 1 :(得分:1)

var user = _userManager.Users.SingleOrDefault(p => p.PhoneNumber == model.PhoneNumber);
            if (user == null)
            {
                return RedirectToAction(nameof(Login));
            }

            var result1 = _userManager.PasswordHasher.VerifyHashedPassword(user, user.PasswordHash, model.Password);
            if (result1 != PasswordVerificationResult.Success)
            {
                ModelState.AddModelError(string.Empty, "Invalid login attempt.");
                return View(model);
            }
相关问题
最新问题