以下是该情景:
我使用默认的SqlMembershipProvider在网站上实现membershp。现在我想迁移到我的自定义成员资格提供程序。 (仅供参考我使用的提供是CodeFirst Membership Provider
问题是,提供程序使用自定义加密/哈希算法在db中存储密码,我不想为每个用户生成新密码并向他们发送新密码。
如何在我的提供商中实施默认会员密码哈希/加密。我使用了reflector / googled并尝试了以下代码,它似乎是SqlMembershipProvider中的默认实现:
internal static string GenerateSalt()
{
byte[] buf = new byte[16];
(new RNGCryptoServiceProvider()).GetBytes(buf);
return Convert.ToBase64String(buf);
}
internal string EncodePassword(string pass, string salt)
{
byte[] bIn = Encoding.Unicode.GetBytes(pass);
byte[] bSalt = Convert.FromBase64String(salt);
byte[] bAll = new byte[bSalt.Length + bIn.Length];
byte[] bRet = null;
Buffer.BlockCopy(bSalt, 0, bAll, 0, bSalt.Length);
Buffer.BlockCopy(bIn, 0, bAll, bSalt.Length, bIn.Length);
HashAlgorithm s = HashAlgorithm.Create("SHA1");
bRet = s.ComputeHash(bAll);
return Convert.ToBase64String(bRet);
}
并在我的ValidateUser方法中使用它:
string salt = GenerateSalt();
string pass = EncodePassword(enteredPassword, salt);
bool verificationSucceeded = pass == user.Password;
但是从EncodePassword返回的传递与默认SqlMembershipProvider在切换到自定义成员资格之前放入数据库的传递不同。如何实现默认SqlMembershipProvider之类的确切密码验证/生成?
注意:由于我在web.config中没有定义任何machinekey,我确定默认提供商使用Hashed密码格式,而不是Encrypted或Clear
谢谢。
答案 0 :(得分:4)
找到解决方案:
在ValidateUser方法中,我们必须从PasswordSalt表中获取aspnet_Membership,而不是生成它!
虚拟问题。 :|