Asp.net 身份密码哈希-6ren

Asp.net 身份密码哈希

转载作者：行者123 更新时间：2023-12-01 21:16:27

25

4

新的 ASP.net Identity 项目为网站安全带来了一些有用的代码和接口(interface)。要使用接口(interface)(而不是使用 MVC 5 模板中包含的标准 Entity Framework 实现)实现自定义系统，需要 IPasswordHasher。

ASP.net Identity 中的

`IPasswordHasher` 接口(interface)

namespace Microsoft.AspNet.Identity
{
    public interface IPasswordHasher
    {
         string HashPassword(string password);
         PasswordVerificationResult VerifyHashedPassword(string hashedPassword, string providedPassword);
    }
}

是否可以在 ASP.net Identity 中并通过此接口(interface)使用密码加盐来实现更安全的加密？

最佳答案

健康警告以下答案:了解您正在使用哪个版本的 ASP.Net Identity。如果源代码是 github 存储库中的较新版本之一，您应该直接引用源代码。

在我撰写本文时，密码处理程序的当前版本 ( 3.0.0-rc1/.../PasswordHasher.cs ) 与以下答案有显着不同。这个较新的版本支持多个哈希算法版本，并记录为(并且在您阅读本文时可能会进一步更改):

Version 2:

PBKDF2 with HMAC-SHA1, 128-bit salt, 256-bit subkey, 1000 iterations.

(See also: SDL crypto guidelines v5.1, Part III)

Format: { 0x00, salt, subkey }

Version 3:

PBKDF2 with HMAC-SHA256, 128-bit salt, 256-bit subkey, 10000 iterations.

Format: { 0x01, prf (UInt32), iter count (UInt32), salt length (UInt32), salt, subkey }

(All UInt32s are stored big-endian.)

原始答案对于 ASP.Net Identity 的原始版本仍然有效，如下:

<小时/>

@jd4u 是正确的，但为了提供更多信息，这不适合他的答案的评论:

Microsoft.AspNet.Identity.PasswordHasher : IPasswordHasher已经给你加盐了，
- 更重要的是它使用 Rfc2898DeriveBytes生成盐和哈希值，
- 它使用行业标准 PBKDF2( SE discussion here 、 OWASP recommendation for PBKDF2 here )。
默认 Microsoft.AspNet.Identity.UserManager<TUser> 实现使用 Microsoft.AspNet.Identity.PasswordHasher 作为混凝土IPasswordHasher
PasswordHasher反过来是(最终) System.Security.Cryptography.Rfc2898DeriveBytes 的一个非常简单的包装器。

所以，如果您要使用 Rfc2898DeriveBytes ，只需使用 PasswordHasher - 所有繁重的工作都已经为您完成(希望是正确的)。

详细信息

PasswordHasher(当前)最终使用的完整代码的作用非常接近:

int saltSize = 16;
int bytesRequired = 32;
byte[] array = new byte[1 + saltSize + bytesRequired];
int iterations = SOME; // 1000, afaik, which is the min recommended for Rfc2898DeriveBytes
using (var pbkdf2 = new Rfc2898DeriveBytes(password, saltSize, iterations))
{
    byte[] salt = pbkdf2.Salt;        
    Buffer.BlockCopy(salt, 0, array, 1, saltSize);
    byte[] bytes = pbkdf2.GetBytes(bytesRequired);
    Buffer.BlockCopy(bytes, 0, array, saltSize+1, bytesRequired);
}
return Convert.ToBase64String(array);

关于Asp.net 身份密码哈希，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/19957176/

25

4

0

文章推荐： java - Bukkit/龙头 : Plugin - Custom GUI Shop error

文章推荐： arrays - 更改数组元素无效

文章推荐： REST API 只能通过我的 React 客户端访问

文章推荐： sql-server - Amazon EC2 实例 - 如何查找 SQL Server 密码

regex - Grep 所有不以#(哈希)或贪心空格和#(哈希)开头的行
我正在尝试 grep conf 文件中所有不以开头的有效行哈希(或) 任意数量的空格(0 个或多个)和一个散列下面的正则表达式似乎不起作用。 grep ^[^[[:blank:]]*#] /op
带斜线的 Laravel 哈希
我正在使用哈希通过 URL 发送 protected 电子邮件以激活帐户 Hash::make($data["email"]); 但是哈希结果是 %242y%2410%24xaiB/eO6knk8sL
来自文本文件的 Perl 哈希
我是 Perl 的新手，正在尝试从文本文件创建散列。我有一个代码外部的文本文件，旨在供其他人编辑。前提是他们应该熟悉 Perl 并且知道在哪里编辑。文本文件本质上包含几个散列的散列，具有正确的语法、缩
perl 哈希 - 比较键和值
我一直在阅读 perl 文档，但我不太了解哈希。我正在尝试查找哈希键是否存在，如果存在，则比较其值。让我感到困惑的是，我的搜索结果表明您可以通过 if (exists $files{$key}) 找到
当键和值都是数组引用时的 Perl 哈希
我遇到了数字对映射到其他数字对的问题。例如，(1,2)->(12,97)。有些对可能映射到多个其他对，所以我真正需要的是将一对映射到列表列表的能力，例如 (1,2)->((12,97),(4,1))。
Mustache:从模板中检索标签列表/哈希？
我见过的所有 Mustache 文档和示例都展示了如何使用散列来填充模板。我有兴趣去另一个方向。 EG，如果我有这个: Hello {{name}} mustache 能否生成这个(伪代码): tag
hash - ColdFusion 哈希
我正在尝试使用此公式创建密码摘要以获取以下变量，但我的代码不匹配。不确定我做错了什么，但当我需要帮助时我会承认。希望有人在那里可以提供帮助。文档中的公式:Base64(SHA1(NONCE + TI
arrays - 遍历数据数组/哈希
我希望遍历我传递给定路径的这些数据结构(基本上是目录结构)。目标是列出根/基本路径，然后列出所有子 path s 如果它们存在并且对于每个子 path存在，列出 file从那个子路径。我知道这可能
子函数的 Perl 哈希
我希望有一个包含对子函数的引用的散列，我可以在其中根据用户定义的变量调用这些函数，我将尝试给出我正在尝试做的事情的简化示例。 my %colors = ( vim => setup_vim()
vim - 为什么写入文件会更改内容(哈希)？
我注意到，在使用 vim 将它们复制粘贴到文件中后尝试生成一些散列时，散列不是它应该的样子。打开和写出文件时相同。与 nano 的行为相同，所以一定有我遗漏的地方。 $ echo -n "foo"
perl - 为什么我们不能在列表上下文中初始化状态数组/哈希？
数组和散列作为状态变量存在限制。从 Perl 5.10 开始，我们无法在列表上下文中初始化它们: 所以 state @array = qw(a b c); #Error! 为什么会这样？为什么这是不允
Varnish vcl_backend_response检测vcl_recv返回(哈希)
在端口 80 上使用 varnish 5.1 的多网站设置中，我不想缓存所有域。这在 vcl_recv 中很容易完成。 if ( req.http.Host == "cache.this.domai
Django 管道缓存破坏不更新缓存文件/哈希
基本上，缓存破坏文件上的哈希不会更新。 class S3PipelineStorage(PipelineMixin, CachedFilesMixin, S3BotoStorage): pa
eclipse - 调试Dart应用程序时变量的唯一ID(哈希？)
eclipse dart插件在“变量” View 中显示如下内容: 在“值”列中可见的“id”是什么意思？ “id”是唯一的吗？在调试期间，如何确定两个实例是否相同？我是否需要在所有类中重写toStr
arrays - 将相同类型的命令行参数读入Powershell中的数组/哈希
如何将Powershell中的命令行参数读入数组？就像是 myprogram -file file1 -file file2 -file file3 然后我有一个数组 [file1,file2,fil
用于安全支付网关的 coldfusion 哈希
我正尝试在 coldfusion 中为我们的安全支付网关创建哈希密码以接受交易。很遗憾，支付网关拒绝接受我生成的哈希值。表单发送交易的所有元素，并发送基于五个不同字段生成的哈希值。在 PHP 中
Ruby - 哈希 - 组合
例如，我有一个包含 5 个元素的哈希: my_hash = {a: 'qwe', b: 'zcx', c: 'dss', d: 'ccc', e: 'www' } 我的目标是每次循环哈希时都返回，但没
哈希问题的 Perl 哈希
我在这里看到了令人作呕的类似问题，但没有一个能具体回答我自己的问题。我正在尝试以编程方式创建哈希的哈希。我的问题代码如下: my %this_hash = (); if ($user_hash{$u
用于安全支付网关的 coldfusion 哈希
我正尝试在 coldfusion 中为我们的安全支付网关创建哈希密码以接受交易。很遗憾，支付网关拒绝接受我生成的哈希值。表单发送交易的所有元素，并发送基于五个不同字段生成的哈希值。在 PHP 中
Java 哈希(简单)
这个问题已经有答案了: Java - how to convert letters in a string to a number? (9 个回答) 已关闭 7 年前。我需要一种简短的方法将字符串转

首页

博学

6Ren·AI

商城