以下是翻译的结果:
下面是情景描述:
我已经使用默认的SqlMembershipProvider实现了网站会员管理。现在,我想迁移到自定义会员提供程序。(我使用的是CodeFirst Membership Provider,请参考该链接。)
问题是,该提供程序使用自定义的加密/散列算法将密码存储在数据库中,我不想为每个用户生成新密码并将新密码发送到他们的邮箱。
我应该如何在自己的提供程序中实现默认的会员密码散列/加密?我使用Reflector/Google搜索,并尝试了以下代码,这似乎是SqlMembershipProvider中的默认实现:
internal static string GenerateSalt()
{
byte[] buf = new byte[16];
(new RNGCryptoServiceProvider()).GetBytes(buf);
return Convert.ToBase64String(buf);
}
internal string EncodePassword(string pass, string salt)
{
byte[] bIn = Encoding.Unicode.GetBytes(pass);
byte[] bSalt = Convert.FromBase64String(salt);
byte[] bAll = new byte[bSalt.Length + bIn.Length];
byte[] bRet = null;
Buffer.BlockCopy(bSalt, 0, bAll, 0, bSalt.Length);
Buffer.BlockCopy(bIn, 0, bAll, bSalt.Length, bIn.Length);
HashAlgorithm s = HashAlgorithm.Create("SHA1");
bRet = s.ComputeHash(bAll);
return Convert.ToBase64String(bRet);
}
我将其用在我的ValidateUser方法中:
string salt = GenerateSalt();
string pass = EncodePassword(enteredPassword, salt);
bool verificationSucceeded = pass == user.Password;
但是从EncodePassword返回的密码与默认的SqlMembershipProvider在切换到自定义成员身份验证之前放入数据库的密码不同。如何实现与默认的SqlMembershipProvider完全相同的密码验证/生成?
注:由于我没有在web.config中定义任何machinekey,所以我确定默认提供程序使用Hashed密码格式,而不是Encrypted或Clear。
谢谢。