以可恢复格式存储密码是一个非常糟糕的想法。如果你能够恢复密码,那么任何入侵你的服务器的人也可以。
你最好使用标准的哈希+盐方法,并设置一个密码重置机制来处理用户忘记密码的情况。
您需要使用passwordFormat="Encrypted"而非passwordFormat="Hashed"。然后,您可以在必要时使用MembershipProvider的DecryptPassword方法解密密码。
Imports System.Web.Security
Public Class PasswordRecovery
Inherits SqlMembershipProvider
Public Function GetDecryptedPassword(ByVal password As String) As String
Try
Dim _encodedPassword() As Byte = Convert.FromBase64String(password)
Dim _bytes() As Byte = DecryptPassword(_encodedPassword)
If _bytes Is Nothing Then
Return ""
Else
Return System.Text.Encoding.Unicode.GetString(_bytes, &H10, _bytes.Length - &H10)
End If
Catch ex As Exception
Throw New Exception("Error decrypting password.", ex)
End Try
End Function
End Class
我猜你正在使用微软提供的SQLMembershipProvider。如果是这样,为什么不使用内置的问题和答案功能来允许用户重置密码呢?或者(或者同时)为他们重置密码并将新密码发送到他们的电子邮件中。这样,您的应用程序就不会意外地向任何人公开用户的密码。
如果您真的需要解密他们的密码,则必须将passwordFormat设置为“Encrypted”。请参阅DecryptPassword以获取有关解密密码的信息。有关如何配置解密的详细信息,请参见PasswordFormat,请注意,它说您必须指定machineKey元素的decryptionKey属性。