Comment créer un asp.net l'adhésion fournisseur de hachage de mot de passe manuellement?

Je suis en utilisant un site web frontend et tous les utilisateurs sont authentifiés à l'aide de la norme ASP.NET Adhésion-Fournisseur. Les mots de passe sont enregistrés "haché" à l'intérieur d'une Base de données SQL.

Maintenant, je veux écrire un bureau-client avec des fonctions administratives. Entre autres choses, il devrait y avoir une méthode pour réinitialiser un mot de passe des utilisateurs. Je peux accéder à la base de données avec le enregistré l'adhésion de données, mais comment puis-je créer manuellement le mot de passe de sel et de hachage? L'utilisation du Système.Web.L'adhésion de l'espace de Noms semble être inapproprié j'ai donc besoin de savoir comment créer le sel et le hachage du nouveau mot de passe manuellement.

Experts de l'étape! 🙂

Pourquoi est-ce Système.Web.Sécurité inapproprié? Semble être le bon outil pour le travail.
Je ne peux pas inclure un fournisseur d'appartenances dans un bureau à la demande du client, à l'aide de ma base de données sql, puis-je? Lorsque c'est possible, vous avez raison et je peux utiliser ces méthodes... mais comment la mettre en œuvre?

OriginalL'auteur Anheledir | 2010-03-30

  1. 13

    Vous pouvez utiliser absolument System.Web.Security dans une console ou winforms app.

    Ici est une simple application console:

    static void Main(string[] args)
{
    MembershipProvider provider = Membership.Provider;

    MembershipUser myUser = provider.GetUser("myUser", false);

    if( myUser != null ) provider.DeleteUser("myUser", true);

    MembershipCreateStatus status;

    myUser = provider.CreateUser("myUser", "password", "[email protected]", null, null, true, null, out status);

    if (status != MembershipCreateStatus.Success)
    {
        Console.WriteLine("Could not create user.  Reason: " + status.ToString());
        Console.ReadLine();
        return;
    }

    Console.WriteLine("Authenticating with \"password\": " + provider.ValidateUser("myUser", "password").ToString());

    string newPassword = myUser.ResetPassword();

    Console.WriteLine("Authenticating with \"password\": " + provider.ValidateUser("myUser", "password").ToString());
    Console.WriteLine("Authenticating with new password: " + provider.ValidateUser("myUser", newPassword).ToString());

    Console.ReadLine();
}

    Et de l'application.config:

    <?xml version="1.0" encoding="utf-8" ?>
<configuration>
    <connectionStrings>
        <add name="MyConnectionString" connectionString="Data Source=localhost;Initial Catalog=MyDatabase;Integrated Security=True" providerName="System.Data.SqlClient" />
    </connectionStrings>
    <system.web>
        <membership defaultProvider="MyMembershipProvider">
            <providers>
                <clear />
                <add name="MyMembershipProvider"
                     type="System.Web.Security.SqlMembershipProvider"
                     connectionStringName="MyConnectionString"
                     applicationName="MyApplication"
                     minRequiredPasswordLength="5"
                     minRequiredNonalphanumericCharacters="0"
                     requiresQuestionAndAnswer="false" />
            </providers>
        </membership>
    </system.web>
</configuration>

    OriginalL'auteur

  2. 15

    J'ai utilisé un réflecteur de prendre un coup d'oeil à ces méthodes .NET-Framework utilise interne. Peut-être il y a des méthodes publiques disponibles pour cela, mais je n'ai pas trouver si vous savez comment faire pour interroger ces méthodes internes en tant qu'utilisateur merci de laissé un commentaire! 🙂

    Ici est la simplification du code source sans conditions inutiles parce que je ne veux encoder le mot de passe comme un Hachage SHA1:

    private string GenerateSalt() {
  var buf = new byte[16];
  (new RNGCryptoServiceProvider()).GetBytes(buf);
  return Convert.ToBase64String(buf);
}

private string EncodePassword(string pass, string salt) {
    byte[] bytes = Encoding.Unicode.GetBytes(pass);
    byte[] src = Convert.FromBase64String(salt);
    byte[] dst = new byte[src.Length + bytes.Length];
    byte[] inArray = null;
    Buffer.BlockCopy(src, 0, dst, 0, src.Length);
    Buffer.BlockCopy(bytes, 0, dst, src.Length, bytes.Length);
    HashAlgorithm algorithm = HashAlgorithm.Create("SHA1");
    inArray = algorithm.ComputeHash(dst);
    return Convert.ToBase64String(inArray);
}
    pas besoin d'utiliser un Réflecteur, la source pour les fournisseurs par défaut est facilement disponible - download.microsoft.com/download/a/b/3/... . Jetez un oeil à la EncodePassword méthode de SqlMembershipProvider pour la mise en œuvre. Il utilise l'algorithme de hachage par défaut, sauf si il est spécifié pour le MembershipProvider. IIRC, la valeur par défaut est SHA-1

    OriginalL'auteur

  3. 1

    Rapide sale méthode

    Public Shared Function GetSaltKey() As String
            Dim saltBytes() As Byte
            Dim minSaltSize As Integer = 4
            Dim maxSaltSize As Integer = 8

            ' Generate a random number for the size of the salt.
            Dim random As Random
            random = New Random()

            Dim saltSize As Integer
            saltSize = random.Next(minSaltSize, maxSaltSize)

            ' Allocate a byte array, which will hold the salt.
            saltBytes = New Byte(saltSize - 1) {}

            ' Initialize a random number generator.
            Dim rng As RNGCryptoServiceProvider
            rng = New RNGCryptoServiceProvider()

            ' Fill the salt with cryptographically strong byte values.
            rng.GetNonZeroBytes(saltBytes)

            ' Convert plain text into a byte array.
            Return Convert.ToBase64String(saltBytes)
        End Function

        Public Shared Function ComputeHash(ByVal password As String, ByVal salt As String) As String

            Return System.Web.Security.FormsAuthentication.HashPasswordForStoringInConfigFile(salt & password, _
                System.Web.Configuration.FormsAuthPasswordFormat.SHA1.ToString)
        End Function

    Bien que, l'adhésion à l'espace de noms a des trucs construit dans pour cela ainsi, comme l'a déclaré Oublié le point-Virgule

    Belle méthode, mais pas la même que la norme asp.net adhésion-fournisseur utilise - après la définition d'un nouveau mot de passe avec cette méthode, l'utilisateur ne pouvait pas se connecter-en plus. Merci quand même 🙂
    Je suis en utilisant ce code avec l'asp.net fournisseur d'appartenances sur un site de production (un vieux), vous devez recalculer le hachage et le sel de la clé et de les comparer sur chaque authentification, qui est l'endroit où la sécurité est dérivé. De ne pas être pointilleux, mais votre question n'a demandé comment faire pour calculer le sel et le a la clé manuellement.

    OriginalL'auteur

  4. 1

    Il a été un certain temps depuis que j'ai bricolé avec ASP.Net l'adhésion, mais n'oubliez pas de traiter avec quelque chose d'un peu liée à elle (ce qui est nécessaire pour personnaliser les choses grâce à une base de données d'utilisateurs). Dans cet effort, j'ai remplacé les méthodes (l'utilisateur existant db avait md5 haché mdp).

    Donc dans la même "ligne de pensée":

    Exposer les Membres de l'API par l'intermédiaire d'un service web que votre application de bureau peut faire référence. De cette façon, vous n'êtes pas "re-création" des choses, vous êtes à la réutilisation. Vous n'avez pas à remplacer quoi que ce soit, vous êtes juste d'exposer les méthodes existantes via un service web pour votre application de bureau.

    Va sans dire que vous auriez à sécuriser ce point de terminaison....

    Si ce qui précède est trop imprécis pour votre goût, voici un lien vers le asp.net forums concernant certaines tentatives pour recréer le hachage....Je ne peux pas confirmer l'exactitude, mais il devrait être facile à tester:

    http://forums.asp.net/p/1336657/2899172.aspx

    Je vous remercie pour votre site web-le service d'une idée. Vous avez raison, dans des conditions normales, je voudrais faire l'ensemble des Membres-Chose via un service. Malheureusement société-politiques ne sont pas autoriser ce genre de web-service 🙁

    OriginalL'auteur