当我使用Aspnet Identity的PasswordHasher散列密码时,密码未链接到设置了密码的TUser。所以从技术上讲,我可以复制该密码哈希并为不同的用户设置它,并且相同的密码哈希将起作用。
方法签名将TUser user作为参数,但不在哈希/盐实现中使用。
这是疏忽还是在方法签名中声明TUser user但是没有使用其他原因?
第94行:
public virtual string HashPassword(TUser user, string password)
和 第172行:
public virtual PasswordVerificationResult VerifyHashedPassword(TUser user, string hashedPassword, string providedPassword)
Here是源代码。