我对下一个(简化的)代码感到困惑。在用户注册时,它会加密密码,将哈希值转换为字符串并将其保存在数据库中。在该用户尝试登录之后,代码从db读取密码,获取其字节,并与用户输入的密码的加密哈希值进行比较。
static void Main(string[] args)
{
//User registration
byte[] passwordBytes = Encoding.Unicode.GetBytes("P@ssword");
byte[] hashBytes = GetHash(passwordBytes);
string stringFieldInDb = Encoding.Unicode.GetString(hashBytes); //password hash is being stored in database
//Check password
byte[] hashBytesInDb = Encoding.Unicode.GetBytes(stringFieldInDb); //was read from database
byte[] enteredPasswordBytes = Encoding.Unicode.GetBytes("P@ssword");
byte[] enteredPasswordHash = GetHash(enteredPasswordBytes);
//is false
var isPasswordValid = hashBytesInDb.SequenceEqual(enteredPasswordHash);
//this way is true
var isPasswordValid2 = stringFieldInDb == Encoding.Unicode.GetString(enteredPasswordHash);
}
private static byte[] GetHash(byte[] data)
{
return new SHA512CryptoServiceProvider().ComputeHash(data);
}
哈希值略有不同,来自数据库的哈希字符串字节:
161, 127, 0, 49, 27, 146, **253, 255**, 109, 214, **253, 255**, 113, 75, 226, ...
在登录时输入的密码生成的哈希字符串字节:
161, 127, 0, 49, 27, 146, **74, 219**, 109, 214, **65, 220**, 113, 75, 226, ...
我将上面的例子缩短为三行,我想知道这个结果是什么原因?
byte[] someCharBytes = new byte[] { 74, 219 };
string someChar = Encoding.Unicode.GetString(someCharBytes);
byte[] differentSomeCharBytes = Encoding.Unicode.GetBytes(someChar); //returns { 253, 255 }
答案 0 :(得分:4)
您正在尝试将哈希数据(基本上是随机字节)解释为有效的UTF-16数据。这不会起作用。并非所有字节组合都有效。您获得的特定字节253, 255
是U+FFFD REPLACEMENT CHARACTER
的UTF-16表示形式,它是用于通知无效字节序列的字符。
如果需要将字节数组转换为字符串进行存储,
base64编码非常流行。查看Convert.ToBase64String
和Convert.FromBase64String
。