我正在使用.NET Core的REST Api上使用.Net Framework身份验证的现有数据库。
我有一个aspnet_Users
表,其中包含username
和aspnet_Membership
表,其中包含passwordHash
和passwordSalt
。
我的想法是通过使用salt生成哈希来验证密码,并与登录请求中提供的字符串密码进行比较。但...
数据库上的passwordHash
和passwordSalt
存储为字符串。
我的问题是:如何使用字符串salt生成哈希值。我习惯byte[]
而不是string
...
答案 0 :(得分:2)
感谢:https://stackoverflow.com/posts/2138588
static byte[] GenerateSaltedHash(byte[] plainText, byte[] salt)
{
HashAlgorithm algorithm = new SHA256Managed();
byte[] plainTextWithSaltBytes =
new byte[plainText.Length + salt.Length];
for (int i = 0; i < plainText.Length; i++)
{
plainTextWithSaltBytes[i] = plainText[i];
}
for (int i = 0; i < salt.Length; i++)
{
plainTextWithSaltBytes[plainText.Length + i] = salt[i];
}
return algorithm.ComputeHash(plainTextWithSaltBytes);
}
您可以使用Encoding.UTF8.GetBytes(string)
将文本转换为字节数组。如果必须将哈希值转换为其字符串表示形式,则可以使用Convert.ToBase64String
和Convert.FromBase64String
将其转换回来。
你应该注意到你不能在字节数组上使用相等运算符,它会检查引用,所以你应该简单地遍历两个数组来检查每个字节
public static bool CompareByteArrays(byte[] array1, byte[] array2)
{
if (array1.Length != array2.Length)
{
return false;
}
for (int i = 0; i < array1.Length; i++)
{
if (array1[i] != array2[i])
{
return false;
}
}
return true;
}
答案 1 :(得分:1)
要回答您的问题,将字符串转换为byte []的最简单方法是使用System.Text.Encoding.UTF8.GetBytes()
。
话虽如此,您应该调查是否要自己编写密码验证代码,因为the common sentiment is that you should avoid it。那里有一个可以为你做这件事的图书馆。
答案 2 :(得分:1)
嗯,你没有说你想要什么样的哈希;)所以这是我一直用于我的项目的一个。它由我的前工程师工程师编写。
之前我查看过这段代码。您可以尝试调试以查看是否确实需要互斥对象。我对此表示怀疑,但为您提供原始代码总是更安全,因此您可以使用它。
{{1}}