asp.net - AspNet 成员身份加密密码生成

问题描述

在我们开始之前，我想明确表示我知道这个问题有多糟糕。这是一个可怕的情况，但我受到一些非常奇怪的规范的限制。

我知道你不仅不应该尝试为这类东西编写自己的包装器，而且微软已经明确表示不应该使用它。所以在你开始写回复说“你为什么要这样做”之前，请试着理解我已经和我的上级进行了这些对话，但是推动新功能和缺乏时间意味着尽管它是残酷的；尽管如此 - 我在这里。

我们有一个 ASP Net 会员数据库，早在我在这家公司工作之前就开始了，现在拥有大约 4 万用户。我们在 .Net 3.5 中有一个平台，可以让用户登录。

我目前的工作是在 .Net Core 2.1 中编写一个 API，其中一部分是允许用户创建和更新，但问题在于 - 从成员身份迁移到身份不是一种选择，所以我被告知要创建一个包装器用于成员资格数据库中的存储过程。

这主要是成功的，唯一的问题是；这个问题的主题。通过我创建用户aspnet_Membership_CreateUser需要以可以在我们的平台上成功验证的方式提交数据。

我最初关注了这篇文章，但发现它是为 PasswordFormat 1 - Hashed 设计的；然后我发现我们的用户群使用 PasswordFormat 2 - Encrypted，因此我创建的用户不会验证。

代码看起来像这样

    public bool CreateUser(string userName, string password, string email, string securityQuestion, string securityAnswer, bool isApproved)
    {
        bool success = false;

        //Just so I can attempt to login afterwards
        password = "Hello World!";

        //Our password and password salt need to be base64 encoded before we can save them to the DB
        string salt = Guid.NewGuid().ToString();
        string encryptedSalt = salt.Base64Encode();

        //Concatenate our salt and password
        IEnumerable<byte> saltedpass = salt.GetBytes(Encoding.UTF8).Concat(password.GetBytes(Encoding.UTF8));

        //Use SHA1 to hash more - equivilant to the HASHBYTES('SHA1' T-SQL
        byte[] sha1HashedPass = PasswordHelper.HashBytes(_validationMethod, saltedpass.ToArray(), _validationKey);
        string hashedPass = sha1HashedPass.ToBase64String();

        int errorCode = MembershipCreateUser(_applicationName, userName, hashedPass, encryptedSalt, email, securityQuestion, securityAnswer, isApproved);
        if (errorCode == 0)
        {
            success = true;
        }
        return success;
    }

值得注意的_validationKey是，使用该数据库的应用程序之间共享的机器密钥，我将其传递给 SHA1 机制。

因此，除了故意和可悲的不良安全做法外；C# 中有没有办法以这种方式生成加密（非散列）密码和盐？

标签： asp.netasp.net-coreasp.net-membership