我有两个.Net Framework和.Net Core项目,都使用相同的数据库。
该数据库具有用于登录和角色管理的用户详细信息,分别在.Net Identity和.Net Core Identity中完成。
登录时,两个应用程序的UserManager都使用输入的电子邮件来获取用户,但是我在一个应用程序上输入的密码不正确。
所以我想知道.Net Identity和.Net Core Identity中密码哈希算法的选择是否存在差异。
答案 0 :(得分:0)
检查this blog post,看来默认算法确实不同
Identity框架中的默认实现是PasswordHasher类(源代码)。该分类旨在用于两种不同的哈希格式:
- ASP.NET身份版本2:具有 HMAC-SHA1 ,128位盐,256位子项, 1000次迭代的PBKDF2
- ASP.NET Core身份版本3:具有 HMAC-SHA256 ,128位salt,256位子项, 10000次迭代的PBKDF2 < / em>
强调地雷
尽管它们都使用PBKDF2,但还是存在一些细微差别