Question

Я был над этой проблемой некоторое время.Мне нужно сравнить пароль, который пользователь вводит с паролем, который находится в базе данных членства.Пароль хешируется и имеет соль.Из-за отсутствия документации я не знаю, добавляется ли соль к паролю, а затем хэшируется, как она создается.

Я не могу получить это соответствие.Хеш, возвращаемый функцией, никогда не совпадает с хешем в БД, и я точно знаю, что это тот же пароль.Похоже, Microsoft хэширует пароль иначе, чем я.

Надеюсь, у кого-то есть идеи, пожалуйста.

Вот мой код:

 protected void Button1_Click(object sender, EventArgs e)
    {   
        //HERE IS THE PASSWORD I USE, SAME ONE IS HASHED IN THE DB
        string pwd = "Letmein44";
       //HERE IS THE SALT FROM THE DB
        string saltVar = "SuY4cf8wJXJAVEr3xjz4Dg==";
        //HERE IS THE PASSWORD THE WAY IT STORED IN THE DB AS HASH
        string bdPwd = "mPrDArrWt1+tybrjA0OZuEG1P5w=";
    // FOR COMPARISON I DISPLAY IT
        TextBox1.Text = bdPwd;
        // HERE IS WHERE I DISPLAY THE return from THE FUNCTION, IT SHOULD MATCH THE PASSWORD FROM THE DB.
        TextBox2.Text = getHashedPassUsingUserIdAsSalt(pwd, saltVar);

    }
private string getHashedPassUsingUserIdAsSalt(string vPass, string vSalt)
    {
        string vSourceText = vPass + vSalt;          
        System.Text.UnicodeEncoding vUe = new System.Text.UnicodeEncoding();
        byte[] vSourceBytes = vUe.GetBytes(vSourceText);            
        System.Security.Cryptography.SHA1CryptoServiceProvider vSHA = new System.Security.Cryptography.SHA1CryptoServiceProvider();
        byte[] vHashBytes = vSHA.ComputeHash(vSourceBytes);            
        return Convert.ToBase64String(vHashBytes);
    }

Moe Sisko · Answer 1 · 22 апреля 2010

Используя такой инструмент, как Reflector, вы можете увидеть, что делает поставщик членства. Это то, что работало для меня в прошлом (предполагается, что формат пароля 1, т.е. SHA1):

public static string GenerateHash(string pwd, string saltAsBase64)
{
    byte[] p1 = Convert.FromBase64String(saltAsBase64);
    return GenerateHash(pwd, p1);
}

public static string GenerateHash(string pwd, byte[] saltAsByteArray)
{
    System.Security.Cryptography.SHA1 sha = new System.Security.Cryptography.SHA1CryptoServiceProvider();

    byte[] p1 = saltAsByteArray;
    byte[] p2 = System.Text.Encoding.Unicode.GetBytes(pwd);

    byte[] data = new byte[p1.Length + p2.Length];

    p1.CopyTo(data, 0);
    p2.CopyTo(data, p1.Length);

    byte[] result = sha.ComputeHash(data);

    string res = Convert.ToBase64String(result);
    return res;
}

Где: "saltAsBase64" из столбца PasswordSalt таблицы aspnet_Membership.

РЕДАКТИРОВАТЬ:

Пример использования:

        string pwd = "Letmein44";
        string saltAsBase64 = "SuY4cf8wJXJAVEr3xjz4Dg==";

        string hash = GenerateHash(pwd, saltAsBase64);  
        // hash : "mPrDArrWt1+tybrjA0OZuEG1P5w="

seraphym · Answer 2 · 22 апреля 2010

Так много работы! Microsoft делает жизнь намного проще:

string myhash = System.Web.Security.FormsAuthentication.HashPasswordForStoringInConfigFile (пароль + соль, "SHA1");

ASP.NET Членство C # - Как сравнить существующий пароль / хэш

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

ASP.NET Членство C # - Как сравнить существующий пароль / хэш

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы