一聚教程网:一个值得你收藏的教程网站

热门教程

Asp.net中Microsoft.Identity的IPasswordHasher加密的默认实现与运用

时间:2022-06-25 02:59:32 编辑:袖梨 来源:一聚教程网

相信了解了MS  Identity认证体系的一定知道UserManager的作用,他是整个体系中的调度者,他定义了一套用户行为来帮助我们管理用户信息,角色信息,处理密码等。而其实现则在UserStore当中,我们可以实现其为我们定义的比如IUserStore,IUserPasswordStore,IRoleStore等等. 我们可以基于一整套用户行为,自定义自己的用户信息和数据结构以及数据存储。那么关于Password的Hasher,MS依然为我们提供了完整的行为定义,也由UserManager来调度。比如

UserManager.PasswordHasher.HashPassword(password)

PasswordHasher在UserManager接口中是这样定义的:

我原本对其默认实现是没有兴趣的,出于独立多个应用的登陆认证的目的,所以需要一个独立的用户认证项目来作为认证服务,其仅生产token,认证成功后,用户的HTTP  Request Header的Authorization带着 token来访问应用服务器上的各种资源。

就是因为这样的原因,在多个应用的密码认证上出现了这样一个问题:

比如应用A采用了实现IPasswordHasher来自定义加密方式――MD5+salt的形式,而应用B则采用了Identity默认的PasswordHasher来实现,通过反编译得到如下代码:

所以为了兼容多个应用不同的加密方式,我不得不反编译出源码,拿到其默认加密方式,根据不同应用名称,来判断对密码加密或者解密,或者直接通过某种方式来对比数据库和用户输入的密码。先上MS默认的PasswordHasher具体实现

 

 代码如下复制代码

// Decompiled with JetBrains decompiler

// Type: Microsoft.AspNet.Identity.Crypto

// Assembly: Microsoft.AspNet.Identity.Core, Version=2.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35

// MVID: E3A10FFD-023A-4BC3-AD53-32D145ABF1C9

// Assembly location: C:SportNewProjectV2.0ApiFantasy.SportpackagesMicrosoft.AspNet.Identity.Core.2.2.1libnet45Microsoft.AspNet.Identity.Core.dll

usingSystem;

usingSystem.Runtime.CompilerServices;

usingSystem.Security.Cryptography;

namespaceMicrosoft.AspNet.Identity

{

 internalstaticclassCrypto

 {

 privateconstintPBKDF2IterCount = 1000;

 privateconstintPBKDF2SubkeyLength = 32;

 privateconstintSaltSize = 16;

 publicstaticstringHashPassword(stringpassword)

 {

  if(password ==null)

  thrownewArgumentNullException("password");

  byte[] salt;

  byte[] bytes;

  using(Rfc2898DeriveBytes rfc2898DeriveBytes =newRfc2898DeriveBytes(password, 16, 1000))

  {

  salt = rfc2898DeriveBytes.Salt;

  bytes = rfc2898DeriveBytes.GetBytes(32);

  }

  byte[] inArray =newbyte[49];

  Buffer.BlockCopy((Array) salt, 0, (Array) inArray, 1, 16);

  Buffer.BlockCopy((Array) bytes, 0, (Array) inArray, 17, 32);

  returnConvert.ToBase64String(inArray);

 }

 publicstaticboolVerifyHashedPassword(stringhashedPassword,stringpassword)

 {

  if(hashedPassword ==null)

  returnfalse;

  if(password ==null)

  thrownewArgumentNullException("password");

  byte[] numArray = Convert.FromBase64String(hashedPassword);

  if(numArray.Length != 49 || (int) numArray[0] != 0)

  returnfalse;

  byte[] salt =newbyte[16];

  Buffer.BlockCopy((Array) numArray, 1, (Array) salt, 0, 16);

  byte[] a =newbyte[32];

  Buffer.BlockCopy((Array) numArray, 17, (Array) a, 0, 32);

  byte[] bytes;

  using(Rfc2898DeriveBytes rfc2898DeriveBytes =newRfc2898DeriveBytes(password, salt, 1000))

  bytes = rfc2898DeriveBytes.GetBytes(32);

  returnCrypto.ByteArraysEqual(a, bytes);

 }

 [MethodImpl(MethodImplOptions.NoOptimization)]

 privatestaticboolByteArraysEqual(byte[] a,byte[] b)

 {

  if(object.ReferenceEquals((object) a, (object) b))

  returntrue;

  if(a ==null|| b ==null|| a.Length != b.Length)

  returnfalse;

  boolflag =true;

  for(intindex = 0; index < a.Length; ++index)

  flag &= (int) a[index] == (int) b[index];

  returnflag;

 }

 }

}

 

有人可能会问,拿到了这些源码要如何应用呢。下面就是浅述到这个问题。

一开始我天真的认为,不就是一个加密么,不用仔细看了,拿来用就好了?

在注册用户和修改密码的时候,都是通过上面 HashPassword  方法来做的密码加密,那我在新的自定义PasswordHasher中,为应用B对比用户登录密码的时候,把用户输入直接通过HashPassword加密一边不就好了?所以我自定义的VerifyHashedPassword  (Verify译为核实)方法,就是比较数据库中的Pwd和经过hasher处理的结果是否相等。  可结果是,每次相同的字符串,会产生不同的加密结果,和以前玩md5+salt不一样呀。所以我又想到了其默认实现的   VerifyHashedPassword 方法。

所以最后要说的就是 你可以拿来微软Identity的加密方式(上面的Hasher)直接使用 ,  在比较用户输入和数据库中已经经过hash的存储结果进行对比的时候,使用其  VerifyHashedPassword()方法。即使不使用Identity认证 也可以用此加密算法

热门栏目