ASP.NET Identity密码哈希处理

健康警告: 了解您使用的ASP.Net Identity版本。如果是来自Github存储库的新版本之一，则应直接参考源代码。

我写这篇文章时，当前版本(3.0.0-rc1/.../PasswordHasher.cs)的密码处理程序与下面的答案显著不同。这个更新版本支持多个哈希算法版本，并且被记录为(并且在您阅读此文时可能会进一步改变):

版本2:

• PBKDF2使用HMAC-SHA1，128位盐，256位子密钥，1000次迭代。
• (另请参阅:SDL加密指南v5.1，第III部分)
• 格式:{ 0x00, salt, subkey }

版本3:

• PBKDF2使用HMAC-SHA256，128位盐，256位子密钥，10000次迭代。
• 格式:{ 0x01, prf (UInt32), iter count (UInt32), salt length (UInt32), salt, subkey }
• (所有UInt32都以big-endian方式存储。)

原始答案仍然适用于原始版本的ASP.Net Identity，如下所示:

---

@jd4u是正确的，但为了更详细地解释一下，这不能在他的答案中进行评论:

• Microsoft.AspNet.Identity.PasswordHasher : IPasswordHasher已经为您进行了盐值处理，
• 更重要的是，它使用 Rfc2898DeriveBytes 生成盐和哈希值，
• 后者使用行业标准 PBKDF2 (这里有一个安全讨论，OWASP 关于 PBKDF2 的建议在这里)。
• 默认的Microsoft.AspNet.Identity.UserManager<TUser>实现使用Microsoft.AspNet.Identity.PasswordHasher作为具体的 IPasswordHasher
• PasswordHasher 实际上只是 (最终) 使用System.Security.Cryptography.Rfc2898DeriveBytes的一个非常简单的包装器

因此，如果您要使用 Rfc2898DeriveBytes，只需使用 PasswordHasher - 所有繁重的工作已经完成 (希望正确)。

详细信息

目前 PasswordHasher 使用的完整代码非常接近于：

int saltSize = 16;
int bytesRequired = 32;
byte[] array = new byte[1 + saltSize + bytesRequired];
int iterations = SOME; // 1000, afaik, which is the min recommended for Rfc2898DeriveBytes
using (var pbkdf2 = new Rfc2898DeriveBytes(password, saltSize, iterations))
{
    byte[] salt = pbkdf2.Salt;        
    Buffer.BlockCopy(salt, 0, array, 1, saltSize);
    byte[] bytes = pbkdf2.GetBytes(bytesRequired);
    Buffer.BlockCopy(bytes, 0, array, saltSize+1, bytesRequired);
}
return Convert.ToBase64String(array);

“在ASP.net Identity中，是否可以使用密码加盐来进行更安全的加密？”
是的，该接口已为Core框架中已存在的PasswordHasher的新实现提供。
还请注意，默认实现已经使用了Salt+Bytes。
创建自定义PasswordHasher（例如MyPasswordHasher）后，您可以将其分配给UserManager实例，例如userManager.PasswordHasher=new MyPasswordHasher()。 查看一个这样的IPasswordHasher示例 “要实现使用接口的自定义系统（而不是使用MVC 5模板中包含的标准Entity Framework实现），需要IPasswordHasher。”
要从EF实现替代系统， - 您应该实现所有核心接口。 - 不需要实现IPasswordHasher。 PasswordHasher已作为其实现在Core框架中提供。

在从Membership更新到AspNet.Identity时，我遇到了一个问题。Rfc2898哈希值与以前使用的哈希值不同。这是有充分理由的，但更改哈希值将要求所有用户重置密码。为了解决这个问题，这个自定义实现使其向后兼容：

public class MyPasswordHasher : PasswordHasher {

   public FormsAuthPasswordFormat FormsAuthPasswordFormat { get; set; }

   public MyPasswordHasher(FormsAuthPasswordFormat format) {
      FormsAuthPasswordFormat = format;
   }

   public override string HashPassword(string password) {
      return FormsAuthentication.HashPasswordForStoringInConfigFile(password, FormsAuthPasswordFormat.ToString());
   }

   public override PasswordVerificationResult VerifyHashedPassword(string hashedPassword, string providedPassword) {
     var testHash = FormsAuthentication.HashPasswordForStoringInConfigFile(providedPassword, FormsAuthPasswordFormat.ToString());
     return hashedPassword.Equals(testHash) ? PasswordVerificationResult.Success : PasswordVerificationResult.Failed;
   }
}

当你创建了UserManager实例后，只需设置哈希器：

Usermanager.PasswordHasher = new MyPasswordHasher(FormsAuthPasswordFormat.SHA1);

代码抱怨HashPasswordForStoringInConfigFile方法已经过时，但这没关系，因为我们知道整个过程就是为了摆脱旧技术。